Открыть сервис

CoolWebSearch

CoolWebSearch — это вредоносное программное обеспечение (malware), относящееся к классу браузерных хайджекеров (browser hijackers). Основная функция CoolWebSearch заключалась в несанкционированном изменении настроек веб-браузеров пользователей, перенаправлении поисковых запросов на собственный поисковый сервер и отображении навязчивой рекламы. Программа была широко распространена в начале 2000-х годов и считалась одной из наиболее трудноудаляемых угроз того времени.

История

CoolWebSearch (часто сокращённо CWS) впервые появился в 2003 году. Его создатели использовали методы социальной инженерии и уязвимости в системах безопасности для распространения. Первоначально программа распространялась через поддельные веб-сайты, предлагающие бесплатные утилиты, кодеки или игры, а также через всплывающие рекламные окна, которые при нажатии на них запускали установку. В отличие от многих других хайджекеров того времени, CWS не ограничивался простым изменением домашней страницы браузера. Он глубоко внедрялся в систему, изменяя системные файлы, реестр Windows и настройки сети, что делало его удаление крайне сложным.

В 2004–2005 годах CoolWebSearch достиг пика своей активности. По оценкам экспертов, к концу 2004 года им было заражено от 5 до 10 миллионов компьютеров по всему миру. Программа постоянно эволюционировала, появлялись новые версии, которые использовали более сложные методы сокрытия и самозащиты. Разработчики CWS активно боролись с антивирусными компаниями, регулярно обновляя свой код, чтобы избежать обнаружения.

В 2006 году, после ряда судебных исков и усиления мер безопасности со стороны Microsoft и антивирусных компаний, активность CoolWebSearch начала снижаться. К концу десятилетия программа практически исчезла, уступив место более современным формам вредоносного ПО, таким как трояны-вымогатели и программы-шпионы. Однако её наследие осталось в виде одного из первых и самых известных примеров браузерного хайджекинга.

Технические особенности и механизм работы

Способы заражения

CoolWebSearch распространялся несколькими основными способами:

  • Приманки (Lures): Наиболее распространённый метод. Пользователю предлагали скачать «бесплатный» файл, якобы необходимый для просмотра видео, прослушивания музыки или игры. На самом деле в установщике содержался код CWS.
  • Всплывающие окна (Pop-ups): Рекламные окна, которые при нажатии на кнопку «Закрыть» или «Да» запускали процесс загрузки и установки.
  • Уязвимости браузеров: Использование ошибок в Internet Explorer (например, уязвимости в ActiveX) для автоматической установки без ведома пользователя.
  • Пиратское ПО: Распространение вместе с взломанными программами, кейгенами и кряками.

Действия после заражения

После установки CoolWebSearch выполнял ряд действий:

  1. Изменение настроек браузера: Домашняя страница, страница поиска и страница новой вкладки принудительно устанавливались на coolwebsearch.com или его зеркала.
  2. Перенаправление трафика: Все поисковые запросы, введённые в адресную строку или строку поиска браузера, перенаправлялись на сервер CWS. Результаты поиска, выдаваемые этим сервером, часто содержали рекламные ссылки и ссылки на другие вредоносные сайты.
  3. Отображение рекламы: На веб-страницах, которые посещал пользователь, появлялись дополнительные всплывающие окна и баннеры, часто непристойного или мошеннического содержания.
  4. Модификация системных файлов: CWS изменял файл hosts в Windows, блокируя доступ к сайтам антивирусных компаний (например, Symantec, McAfee, Kaspersky) и сайтам, посвящённым удалению вредоносного ПО.
  5. Сокрытие и самозащита: Программа использовала технологии руткита (rootkit) для сокрытия своих процессов и файлов от пользователя и антивирусного сканера. Она также могла блокировать запуск диспетчера задач и редактора реестра.

Классификация версий

Существовало множество вариантов CoolWebSearch, которые классифицировались по номерам или именам. Наиболее известные:

  • CWS.Aboutblank: Один из первых вариантов, который устанавливал домашнюю страницу на about:blank, но при этом перенаправлял поиск.
  • CWS.SmartSearch: Вариант, который пытался выглядеть как легитимная панель инструментов.
  • CWS.SurfSide: Один из самых сложных для удаления вариантов, использующий продвинутые методы сокрытия.
  • CWS.Win32: Версия, которая была нацелена на 32-битные системы Windows.

Методы борьбы и удаления

Из-за своей сложности и способности к самовосстановлению CoolWebSearch был крайне трудноудаляем. Обычные методы, такие как удаление через «Установку и удаление программ», были неэффективны, так как программа не отображалась в списке установленного ПО.

Специализированные утилиты

Наибольшую известность в борьбе с CWS получила утилита CWShredder, разработанная компанией Merijn.org. CWShredder была бесплатной программой, которая специально была создана для поиска и удаления различных вариантов CoolWebSearch. Она сканировала реестр, системные файлы и файлы браузера, находила следы CWS и удаляла их. В 2004 году права на CWShredder были приобретены компанией Trend Micro, которая интегрировала её в свои антивирусные продукты.

Другие методы

  • Ручное удаление: Требовало глубоких знаний системного реестра Windows, файловой системы и процессов. Включало в себя удаление ключей реестра, DLL-файлов и драйверов, связанных с CWS. Было рискованным, так как ошибка могла привести к неработоспособности системы.
  • Антивирусные программы: Начиная с 2004–2005 годов, большинство современных антивирусных программ (Norton, McAfee, Kaspersky, Dr.Web) начали детектировать и удалять CoolWebSearch. Однако из-за постоянных обновлений CWS антивирусные базы часто отставали.
  • Восстановление системы: Иногда помогало восстановление системы до точки, предшествующей заражению, но это не всегда было эффективно, так как CWS мог заражать точки восстановления.

Влияние и наследие

CoolWebSearch стал одним из первых и самых ярких примеров массового браузерного хайджекинга. Он продемонстрировал уязвимость пользователей, не обладающих техническими знаниями, и показал, как вредоносное ПО может использовать рекламные схемы для получения прибыли.

  • Развитие антивирусной индустрии: Борьба с CWS стимулировала развитие технологий обнаружения руткитов и поведенческого анализа в антивирусных программах.
  • Повышение осведомлённости: Инцидент с CoolWebSearch привлёк внимание широкой общественности к проблемам безопасности в интернете, особенно к опасности скачивания файлов из ненадёжных источников.
  • Юридические прецеденты: Деятельность создателей CWS привела к нескольким судебным искам, в том числе со стороны Microsoft, что способствовало формированию правовой базы для борьбы с вредоносным ПО.

Сегодня CoolWebSearch считается устаревшей угрозой. Современные браузеры (Chrome, Firefox, Edge) имеют встроенные механизмы защиты от хайджекеров, а антивирусное ПО способно эффективно блокировать подобные программы. Однако принципы, заложенные в CWS — перенаправление трафика, показ навязчивой рекламы и модификация настроек — продолжают использоваться в современных формах вредоносного ПО, таких как рекламное ПО (adware) и другие хайджекеры.

Источники

  • Статья «CoolWebSearch» на сайте BleepingComputer.com
  • Информация от компании Trend Micro о CWShredder
  • Архивные материалы сайта Merijn.org
  • Обзоры вредоносного ПО начала 2000-х годов на сайтах Symantec и McAfee

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →