• Résumé : edonkey : un logiciel de Peer to Peer, pour tous types de fichiers, adapté aux gros fichiers (divx), avec un gros capital de sympathie dans une bonne communauté active.

• Mots clé : edonkey, peer to peer, p2p, avi, divx, mp3, exe, mpg, mpeg, video, divx, program, programs, programme, programmes, image, images, document, documents, collection, collections, user, users, adware, jed mccaleb, Jed McCaleb, metamachine, meta machine, edonkey2000, edonkey2000-france, edonkey2000.fr, edonkey2000.com, edonkey2000-france.com, ed2k, gator, cydoor, ucmore, ucmie, ucmee, ucmie.dll, chat, irc, cydoor ad server, spyware, ad-aware, SpyBot, spybot search and destroy, pestpatrol, regcleaner, trojan, keylogger, espion, espiogiciel, adware, gandalf, lugdunum

eDonkey - spywares
Analyse de son installatin avec recherche d'implants malveillants. Par raport à KaZaA le produit est moins polué.

Protocole de test
Nous avons cherché à savoir ce qui vient avec eDonkey. Tests du 16 01 2003 au 23 01 2003 sur la version 35.16.60.
Le protocole de tests que nous utilisons est toujours le même et est à la portée de tout le monde :

• Le protocole
  • Préparation d'un disque dur système
  • Mises à niveau (correctifs, mise à jour des fichiers de signatures etc. ...)
  • Vérification complète
  • Download
  • Recherche de ce qui s'est passé durant le téléchargement (le download) ceci afin d'identifier les malveillances du site de download
  • Installation
  • Recherche de ce qui s'est passé durant l'installation ceci afin d'identifier les malveillances embarquées avec le produit installé
  • Eradication des implants malveillants (ceci a, pour certains logiciels installés, l'effet d'empêcher d'autres implants malveillants de s'installer (système de download silencieux pyramidale de spywares typique de KaZaA par exemple) mais, simultanément, ces autres malveillances ne seront pas listées ici (à la limite, on s'en fiche puisque le but recherché est d'avoir un produit installé proprement).
  • Exécution : connexion et vérification du bon fonctionnement - réglages - essais
  • Recherche de ce qui s'est passé durant la phase d'exploitation (tentatives de rafraîchissement des spywares par des procédures non encore identifiées, download silencieux etc. ...)
    
    
• Préparation d'un disque dur :
  Tout ce dont on a besoin doit être disponible hors connexion (gravé sur un cd ou accessible depuis un disque dur secondaire ou le dique dur système doit être généré à partir d'une image "ghost") :
  installation de Windows 98 depuis un CD d'origine (dans un répertoire portant un autre nom que la valeur par défaut c:\windows)
  application des correctifs (patch) de Windows depuis un backup sans aller sur Windows Update
  installation du navigateur Mozilla depuis un backup - sans aller sur le net - déclaration en navigateur par defaut - on n'utilisera pas Internet Explorer ce qui est la moindre des choses en matière de sécurité et protection de la vie privée.
  installation Norton SystemWorks dernière version 2003 depuis un CD d'origine
  installation ZoneAlarm Pro dernière version (3.1.306) depuis un CD d'origine
  installation SpyBot Search and Destroy dernière version (1.1 release 4) depuis un backup - sans aller sur le Net
  installation PestPatrol dernière version (4.1) et de PPUpdater depuis un backup - sans aller sur le Net
  installation de Tauscan (anti trojans - depuis un backup - sans aller sur le Net)
  installation de Trojan-Hunter (anti trojans - depuis un backup - sans aller sur le Net)
  installation de Trojan-Remover (anti trojans - depuis un backup - sans aller sur le Net)
  installation de jv16 PowerTools dernière version (release 1.1) (depuis un backup - sans aller sur le Net)
  installation de Bho-Cop dernière version connue (release 1.0) (depuis un backup - sans aller sur le Net)
  installation de SpyBlocker dernière version (release 6.0) essentiellement pour ses fonctions de filtres à la volée
  installation de 20/20 (captures d'écrans) release 2.2.7 depuis un backup - sans aller sur le Net
  installation de TreeComp dernière version 3.7 (un comparateur / synchroniseur de répertoires) depuis un backup - sans aller sur le Net
  installation des outils de Windows 98 depuis le CD d'origine (reskit) afin de disposer de windiff.exe (un comparateur graphique de contenus de fichiers) qui sera utilisé avec Treecomp
  installation des drivers Alcatel pour ma connexion Adsl depuis un backup - sans aller sur le Net
  création d'une connexion "à la main" (ne jamais utiliser le kit de connexion de votre Fai) et paramétrage sans jamais mémoriser le mot de passe
  création d'une règle dans ZoneAlarm Pro interdisant toute activité à Internet Explorer et à Outlook Express
  Remarque : d'aucun auront remarqué que je n'utilise pas le célèbre anti-spyware Ad-aware : en effet, cet utilitaire est totalement "largué" par SpyBot Search and Destroy qui, en sus, s'occupe, très bien, de très nombreuses autres choses qu'Ad-aware ignore totalement. Pour moi, Ad-aware n'est plus à utiliser (je verrais plus tard le projet de nouveau binaire Ad-aware 6.xx qui n'est pas disponible au moment où j'écrit ces lignes).
  
  
• Règles du firewall
  Durant les phases de connexions suivantes, les utilitaires vont faire leurs premiers accès à Internet. Le FireWall va réagir chaque fois. Voir les règles établies - en particulier l'interdiction pure et simple de toute activité pour Internet Explorer.
  
  
• Connexion et mise à niveau de tous les utilitaires et de leurs bases de signatures :
  • Norton SystemWorks : mise à jour en ligne de tous les binaires (programmes) et de toutes les bases de signatures
    ZoneAlarm 3.1.306 Pro : mise à jour en ligne (rien - j'ai la dernière version)
    SpyBot Search and Destroy : récupération en ligne et installation des toutes dernières mises à jour
    PestPatrol : mise à jour en ligne
    Tauscan : mise à jour en ligne
    Trojan-Hunter : mise à jour en ligne
    Trojan-Remover : mise à jour en ligne
    SpyBlocker : mise à jour en ligne
    Alcatel - j'ai le bon dernier driver officiel (V 1.6)
    Déconnexion
    
    
• Exécution de tous les utilitaires y compris une analyse de surface approfondie. Le disque est sain et propre.
  
  SpyBot SnD ne détecte rien
  PestPatrol ne détecte rien
  jv16 ne détecte rien
  Tauscan ne détecte rien
  Trojan Hunter ne détecte rien
  Trojan-Remover : ne détecte rien
  Bho-Cop signale le Bho légal de Norton Anti-Virus
  Norton Anti-Virus ne détecte rien
  Norton Disk Doctor - scandisk avec test de surface - tout est ok
  Norton System Doctor - analyse complète du système par Norton pour nous assurer qu'il n'y a aucune erreur ou incohérence dans les structures de directory, le disque, la base de registre, les raccourcis etc. ...
  Norton Speed Disk - défragmentation des fichiers et de l'espace libre
  Norton Assistant optimisation - défragmentation / compression base de registre...
  
  
• Protection
  Mise en write-protect de tous les fichiers de tous les utilitaires (à l'exception de leurs fichiers de logs dans lesquels ils vont écrire). Ceci afin de se prémunir contre des tentatives de hijack (modifications intempestives) de ces utilitaires par les éventuels implants malveillants.
  
  
• Copie témoin des fichiers système
  Copie complète du répertoire contenant Windows, avec tous ses sous-répertoires, sur un disque dur secondaire, pour servir de témoin. Nota : ce répertoire porte, volontairement, un autre nom que la valeur par défaut "c:\windows" afin de déjouer les tentatives les plus bestiales d'attaques qui vont directement à l'emplacement supposé (l'emplacement par défaut) c:\windows.
  Egalement, copie témoin du répertoire Program Files avec tous ses sous-répertoires.
  
  
• Téléchargement - Download
  Petite visite au site http://www.edonkey2000.com/ qui pointe vers le site français de eDonkey, à http://www.edonkey2000-france.com. Téléchargement de la dernière version disponible de eDonkey le 16.01.03 à 07h52 du matin (V 35.16.60) depuis http://www.edonkey2000-france.com/fichiers/eDonkey60.exe. La V35.16.61 "corrige" brutalement une faille de sécurité en ôtant une fonctionalité.
• Un fichier est téléchargé : eDonkey60.exe 876Ko
  
  
• Recherche de ce qui s'est passé durant le téléchargement
  Passage de tous les tests. Rien trouvé. Le download est "propre".
  SpyBot SnD ne détecte rien
  PestPatrol ne détecte rien
  jv16 ne détecte rien
  Tauscan ne détecte rien
  Trojan Hunter ne détecte rien
  Trojan-Remover : ne détecte rien
  Bho-Cop signale le Bho légal de Norton Anti-Virus
  Norton Anti-Virus ne détecte rien
  
• Installation
  
  • Double clic sur eDonkey60.exe. Premier écran d'accueil (en anglais). Clic sur le bouton Next.
    
    
    
    
  • Sélection des objets de eDonkey à installer (en anglais). Ici, tout à été sélectionné pour faire comme la majorité des utilisateurs non avertis (et pour voir ce qui se passe). Dans la pratique NE PAS INSTALLER L'ESPION UCMORE (prononcez "You See More") et, accessoirement, n'installer que l'icône du bureau (Desktop).
    
    
    
    
  • Choisir un emplacement pour l'installation du programme eDonkey
    
    
    
    
  • Pour voir le log de l'installation, cliquer sur "Show details".
    
    
    
    
  • J'avais laissé mon explorateur de Windows (pas Internet Explorer) ouvert. Un avertissement me demande de le fermer. En effet, Internet Explorer et l'explorateur de Windows sont intimement mélés (mutualisation de nombreux composants) et les deux doivent être fermés pour permettre l'installation de l'espion uCmore dans Internet Exploreur (il s'y installe sous forme d'un Bho).
    
    
    
    
  • Débute alors l'installation de l'espion uCmore
    
    
    
    
  • Si vous saisissez quelque chose dans la fenêtre suivante, uCmore prétend vous montrer un exemple personnalisé de comportement de la partie visible de son espion. En fait, il ouvre immédiatement votre dossier de filature (tracking) dans ses bases de données, profite du programme d'installation pour explorer votre ordinateur et tout noter, compléter son installation etc...
    
    
    
    
  • Ah oui !!! cliquer sur le bouton "cancel" (abandon) leur fiche des boutons et on vous fait peur avec ce petit message. Donc, pour aller jusqu'au bout, je poursuis l'installation de uCmore : bouton "resume", retour à l'écran précédent et je saisis une recherche exemplaire (tant pis pour eux, ils l'ont cherché).
    
    
    
    
    
    
    
  • Et sous mes yeux ébahis s'installe un espion sur ma machine. Faut-il être maso, tout de même !.
    
    
    
    
  • Bien entendu, je ne donne pas de pseudo ni d'adresse e-mail, vraie ou fausse. Clic sur "Finish".
    
    
    
    
  • La recherche de démonstration échoue lamentablement car elle cherche, non pas à lancer le navigateur internet par défaut (Mozilla en ce qui me concerne) mais Internet Explorer qui, heureusement, est interdit de toute activité dans les règles du firewall.
    
    
    
    
  • L'installation de l'espion uCmore termine l'installation de eDonkey. Fermeture des fenêtres et en route pour une seconde phase d'analyse. Ici, un log visible (clic sur le bouton "Show details") lors d'un essai d'installation sans uCmore.
    
    
    
    
• Recherche de ce qui s'est passé durant l'installation.
  Passage de tous les tests.
  
  
  • SpyBot Search and Destroy
    Dans un premier temps, seul le scan est passé, sans nettoyage (afin de comparer Spybot à PestPatrol).
    
    
    
    
  • SpyBot nous dit ceci à propos de uCmore. Notons que le site auquel fait allusion Spybot, and.doxdesk.com, site informatif interessant, doit être visité à travers un site d'anonymisation car il n'est pas très clair dans sa politique "vie privée" (il est d'ailleurs "fiché" dans toutes les listes hosts).
    
    
    
    
  • On pourra aussi regarder, avec SpyBot, les cookies installés et les Bho.
    
    
  • PestPatrol
    Dans un premier temps, seul le scan est passé, sans nettoyage (toujours d'en l'esprit de confronter Spybot et PestPatrol).
    
    
    
    
  • Voici ce que PestPatrol nous dis à propos de uCmore. Il est possible d'aller, en ligne, sur le site de PestPatrol où une information beaucoup plus complète est disponible.
    
    
    
    
  • BHO-Captor, BHO-Cop et Bho-Demon voient la même chose. Notons que le second Bho vu ici est le Bho "legal" de l'anti-virus Norton.
    
    
    
    
    
    
    
    
  • Bho-Demon permet de lire les détails de ce Bho - SpyBot Search and Destroy également.
    
    
    
    
    
    
  • TreeComp
    Une comparaison entre le répertoire système et le témoin montre qu'il y a eu peu d'interventions : uCmore à créé son répertoire et un lancement rapide ainsi que des raccourcis et quelques autres installations mais il semble bien qu'il n'y ai pas de modification sournoise de composants de Windows (mis à part Internet Explorer). On trouve également des fichiers temporaires et de log créés ou modifiés (sans intérêt).
    
    
    
    
    
    
    
    
    
    
    
    
  • Nettoyage
    Dans Spybot Search and Destroy, sélection de tout et effacement de tout puis je repasse un coup de PestPatrol qui justifie, encore une fois, le fait qu'il soit payant. Il découvre encore 1 trace de uCmore laissée après le passage de SpyBot Search and Destroy : une clé de registre. Notons que PestPatrol détecte uCmore (uCmie.dll au format .zip) que SpyBot à éradiqué et dont il a fait une sauvegarde dans son répertoire "recovery" - présence tout à fait normale car SpyBot, très prudent, fait des sauvegardes de tout ce qu'il fait et permet de revenir en arrière et d'annuler une éradication. PestPatrol fait également les mêmes sauvegardes.
    
    
    
    
  • Lancement de eDonkey
    Oh !!! surprise. eDonkey a certifié qu'il n'avait plus l'espion Cydoor dans la version 35.16.60 (ne pas confondre avec l'espion Gator qui était aussi là dans la version 35.16.59). Que penser de cette sournoiserie ? Cydoor n'est pas installé sinon PestPatrol l'aurait vu mais qu'est-ce que ce script qui va chercher une page sur un des sites de Cydoor, lorsque l'on sait que Cydoor, justement, s'installe à l'exécution d'un programme, à l'habitude de télécharger du code exécutable silencieusement et que certaines versions utilisent un GUID ???!!!.
    
    
    
    Ouverture de Mozilla et petit tour sur l'url signalée dans le message d'erreur, soit la page http://jbns2.cydoor.com/bns/new/b_518100.htm. Page blanche.
    
    
    
    
  • Affichage du source :
  • <html>
    <body style="margin: 0; padding: 0" oncontextmenu="return false">
    <!-- ----------Advertising.com Banner Code---------- -->
    <script LANGUAGE="JavaScript" SRC="http://servedby.advertising.com/site=108871/size=468060/bnum=38908716/optn=1">
    </SCRIPT>
    <noscript>
    <a HREF="http://servedby.advertising.com/click/site=108871/bnum=38908716" TARGET="_blank">
    <img SRC="http://servedby.advertising.com/site=108871/size=468060/bnum=38908716/bins=1/rich=0" WIDTH="468" HEIGHT="60" BORDER="0" ALT="Click to learn more...">
    </a>
    </noscript>
    <!-- ----------Copyright 2000, Advertising.com---------- -->
    </body>
    </html>
  • Ce source montre un script donant accès à 3 autres pages en gérant le cas des navigateurs refusant les scripts. J'accède donc, avec mon navigateur préféré, Mozilla, à la page http://servedby.advertising.com/site=108871/size=468060/bnum=38908716/optn=1 : Page blanche. "Page info" nous apprend qu'il s'agit d'une image de type gif de 2 x 2 pixels (image invisible) c'est-à-dire un "Web Bug", l'un des outils d'espionnage les plus courants. Execution probable d'un script de traçage attaché à ce Web Bug. On remarquera au passage l'astuce du Web Bug de 2 x 2, la plupart des filtres anti-Web Bug ne filtrant que les images invisibles de 1 x 1 pixel.
    
    
  • J'accède ensuite à la page http://servedby.advertising.com/click/site=108871/bnum=38908716 : Page blanche. "Page info" nous apprend que là aussi il s'agit d'une image de type gif de 2 x 2 pixels (image invisible) c'est-à-dire un "Web Bug" avec son script de traçage derrière.
    
    
  • J'accède enfin à la page http://servedby.advertising.com/site=108871/size=468060/bnum=38908716/bins=1/rich=0 : Page blanche. "Page info" nous apprend qu'il s'agit encore d'une image de type gif de 2 x 2 pixels donc encore un "Web Bug" mais lui, probablement, doit cacher l'adware chargé d'afficher les bannières publicitaires en haut de eDonkey car on voit qu'il réserve un espace de 468 par 60 pixels ce qui correspond à l'une des dimensions normalisées des banières. Cette zone de bannière contiend, au départ, une pub pour vous suggérer d'enregistrer votre version d'eDonkey, pub qui est cherchée sur le site de eDonkey à http://www.edonkey2000.com. Voici le code que l'on peut lire dans cette zone :
  • <html>
    <STYLE type="text/css"> body {margin-left:0cm; margin-top:0cm; margin-right:0cm; margin-bottom:0cm;} </STYLE>
    <body scroll="no">
    <a href="http://www.edonkey2000.com/register.html" target="_blank"><img src="reg.jpg" border="0"></a>
    </body>
    </html>
    

• En conclusion, le spyware Cydoor n'est pas intallé mais un outl de tracking (tracçage) est bien présent sous forme de Web Bug. Les outils anti-Web Bug ne sont pas fonctionnels ici car il ne s'agit pas de pages html classiques telles que reçues normalement par un navigateur Internet mais de zones d'affichages, à l'intérieur d'un programme, qui sont gérées avec un mini interpréteur html embarqué dans eDonkey. Une seule solution, empêcher les échanges entre les serveurs appelés (Cydoor et la régie publicitaire) et ma machine.
• Le bon reflexe est donc, immédiatement, d'ajouter les lignes :
  127.0.0.1 jbns2.cydoor.com
  127.0.0.1 servedby.advertising.com
  dans mon fichier hosts.
  
  

• Et, par mesure de précaution, après ce premier lancement qui m'a fait découvrir Cydoor dans eDonkey, exécution de tous les utilitaires de tests. Le disque est sain et propre donc rien d'autre n'a été installé durant cette phase (quelques alertes du FireWall de type ping ou Netbios et autres non analysées).
  
  SpyBot SnD ne détecte rien
  PestPatrol ne détecte rien de plus que la sauvegarde faite par SpyBot
  jv16 ne détecte rien
  Tauscan ne détecte rien
  Trojan Hunter ne détecte rien
  Trojan-Remover ne détecte rien
  Bho-Cop ne détecte plus le bho uCmore
  Norton Anti-Virus ne détecte rien
  TreeComp ne m'a pas montré de modifications significatives
  

Exploitation de eDonkey durant 5 jours. Connexions, download, envoie de messages etc... puis passage, encore une fois, de tous les tests. Rien de nouveau n'est trouvé en matière d'implants malveillants. eDonkey fonctionne donc maintenant normalement alors qu'il est totalement débarassé de ses poluants.

• Viennent avec eDonkey, dans la version 35.16.60, testée du 16 au 23 janvier 2003, les adwares et spywares uCmore ainsi qu'un outil de traçage de Cydoor. uCmore peut-être éradiqué sans probème par PestPatrol et Cydoor peut être muselé sans problème avec la fonction hosts. eDonkey fonctionne sans problème après nettoyage. Toutefois il est préférable d'utiliser Emule, propre et gérant mieux le réseau que l'outil de son fondateur.

Rédigé en écoutant Downtown Blues "Le meilleur du Blues" - John Lee Hooker, Robert Cray, Stevie Ray Vaughan, Gary Moore, Neville Brothers, Johnny Winter, John Mayall, Calvin Russell, Walter W. Washington, Etta James, John Hammond, Spencer Bohren, Albert Collins, Pop Staples, Charles et les Lulus