CoolWebSearch
CoolWebSearch — это вредоносное программное обеспечение (malware), относящееся к классу браузерных хайджекеров (browser hijackers). Основная функция CoolWebSearch заключалась в несанкционированном изменении настроек веб-браузеров пользователей, перенаправлении поисковых запросов на собственный поисковый сервер и отображении навязчивой рекламы. Программа была широко распространена в начале 2000-х годов и считалась одной из наиболее трудноудаляемых угроз того времени.
История
CoolWebSearch (часто сокращённо CWS) впервые появился в 2003 году. Его создатели использовали методы социальной инженерии и уязвимости в системах безопасности для распространения. Первоначально программа распространялась через поддельные веб-сайты, предлагающие бесплатные утилиты, кодеки или игры, а также через всплывающие рекламные окна, которые при нажатии на них запускали установку. В отличие от многих других хайджекеров того времени, CWS не ограничивался простым изменением домашней страницы браузера. Он глубоко внедрялся в систему, изменяя системные файлы, реестр Windows и настройки сети, что делало его удаление крайне сложным.
В 2004–2005 годах CoolWebSearch достиг пика своей активности. По оценкам экспертов, к концу 2004 года им было заражено от 5 до 10 миллионов компьютеров по всему миру. Программа постоянно эволюционировала, появлялись новые версии, которые использовали более сложные методы сокрытия и самозащиты. Разработчики CWS активно боролись с антивирусными компаниями, регулярно обновляя свой код, чтобы избежать обнаружения.
В 2006 году, после ряда судебных исков и усиления мер безопасности со стороны Microsoft и антивирусных компаний, активность CoolWebSearch начала снижаться. К концу десятилетия программа практически исчезла, уступив место более современным формам вредоносного ПО, таким как трояны-вымогатели и программы-шпионы. Однако её наследие осталось в виде одного из первых и самых известных примеров браузерного хайджекинга.
Технические особенности и механизм работы
Способы заражения
CoolWebSearch распространялся несколькими основными способами:
- Приманки (Lures): Наиболее распространённый метод. Пользователю предлагали скачать «бесплатный» файл, якобы необходимый для просмотра видео, прослушивания музыки или игры. На самом деле в установщике содержался код CWS.
- Всплывающие окна (Pop-ups): Рекламные окна, которые при нажатии на кнопку «Закрыть» или «Да» запускали процесс загрузки и установки.
- Уязвимости браузеров: Использование ошибок в Internet Explorer (например, уязвимости в ActiveX) для автоматической установки без ведома пользователя.
- Пиратское ПО: Распространение вместе с взломанными программами, кейгенами и кряками.
Действия после заражения
После установки CoolWebSearch выполнял ряд действий:
- Изменение настроек браузера: Домашняя страница, страница поиска и страница новой вкладки принудительно устанавливались на
coolwebsearch.comили его зеркала. - Перенаправление трафика: Все поисковые запросы, введённые в адресную строку или строку поиска браузера, перенаправлялись на сервер CWS. Результаты поиска, выдаваемые этим сервером, часто содержали рекламные ссылки и ссылки на другие вредоносные сайты.
- Отображение рекламы: На веб-страницах, которые посещал пользователь, появлялись дополнительные всплывающие окна и баннеры, часто непристойного или мошеннического содержания.
- Модификация системных файлов: CWS изменял файл
hostsв Windows, блокируя доступ к сайтам антивирусных компаний (например, Symantec, McAfee, Kaspersky) и сайтам, посвящённым удалению вредоносного ПО. - Сокрытие и самозащита: Программа использовала технологии руткита (rootkit) для сокрытия своих процессов и файлов от пользователя и антивирусного сканера. Она также могла блокировать запуск диспетчера задач и редактора реестра.
Классификация версий
Существовало множество вариантов CoolWebSearch, которые классифицировались по номерам или именам. Наиболее известные:
- CWS.Aboutblank: Один из первых вариантов, который устанавливал домашнюю страницу на
about:blank, но при этом перенаправлял поиск. - CWS.SmartSearch: Вариант, который пытался выглядеть как легитимная панель инструментов.
- CWS.SurfSide: Один из самых сложных для удаления вариантов, использующий продвинутые методы сокрытия.
- CWS.Win32: Версия, которая была нацелена на 32-битные системы Windows.
Методы борьбы и удаления
Из-за своей сложности и способности к самовосстановлению CoolWebSearch был крайне трудноудаляем. Обычные методы, такие как удаление через «Установку и удаление программ», были неэффективны, так как программа не отображалась в списке установленного ПО.
Специализированные утилиты
Наибольшую известность в борьбе с CWS получила утилита CWShredder, разработанная компанией Merijn.org. CWShredder была бесплатной программой, которая специально была создана для поиска и удаления различных вариантов CoolWebSearch. Она сканировала реестр, системные файлы и файлы браузера, находила следы CWS и удаляла их. В 2004 году права на CWShredder были приобретены компанией Trend Micro, которая интегрировала её в свои антивирусные продукты.
Другие методы
- Ручное удаление: Требовало глубоких знаний системного реестра Windows, файловой системы и процессов. Включало в себя удаление ключей реестра, DLL-файлов и драйверов, связанных с CWS. Было рискованным, так как ошибка могла привести к неработоспособности системы.
- Антивирусные программы: Начиная с 2004–2005 годов, большинство современных антивирусных программ (Norton, McAfee, Kaspersky, Dr.Web) начали детектировать и удалять CoolWebSearch. Однако из-за постоянных обновлений CWS антивирусные базы часто отставали.
- Восстановление системы: Иногда помогало восстановление системы до точки, предшествующей заражению, но это не всегда было эффективно, так как CWS мог заражать точки восстановления.
Влияние и наследие
CoolWebSearch стал одним из первых и самых ярких примеров массового браузерного хайджекинга. Он продемонстрировал уязвимость пользователей, не обладающих техническими знаниями, и показал, как вредоносное ПО может использовать рекламные схемы для получения прибыли.
- Развитие антивирусной индустрии: Борьба с CWS стимулировала развитие технологий обнаружения руткитов и поведенческого анализа в антивирусных программах.
- Повышение осведомлённости: Инцидент с CoolWebSearch привлёк внимание широкой общественности к проблемам безопасности в интернете, особенно к опасности скачивания файлов из ненадёжных источников.
- Юридические прецеденты: Деятельность создателей CWS привела к нескольким судебным искам, в том числе со стороны Microsoft, что способствовало формированию правовой базы для борьбы с вредоносным ПО.
Сегодня CoolWebSearch считается устаревшей угрозой. Современные браузеры (Chrome, Firefox, Edge) имеют встроенные механизмы защиты от хайджекеров, а антивирусное ПО способно эффективно блокировать подобные программы. Однако принципы, заложенные в CWS — перенаправление трафика, показ навязчивой рекламы и модификация настроек — продолжают использоваться в современных формах вредоносного ПО, таких как рекламное ПО (adware) и другие хайджекеры.
Источники
- Статья «CoolWebSearch» на сайте BleepingComputer.com
- Информация от компании Trend Micro о CWShredder
- Архивные материалы сайта Merijn.org
- Обзоры вредоносного ПО начала 2000-х годов на сайтах Symantec и McAfee
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →