Nederlandse student duelleert met kaper

CoolWebSearch is een zoekmachine die aangesloten websites betaalt voor het aantal bezoekers dat zij aanbrengen. In feite een vorm van multi-levelmarketing, dezelfde tactiek die sommige online-apotheken gebruiken om hun omzet te vergroten. De zoekmachine, die wordt gehost vanuit Washington DC, verdient zelf weer aan adverteerders. Over het bedrijf erachter is weinig bekend. De registratiegegevens van de domeinnaam verwijzen naar InterWeb Solutions Inc, een hostingbedrijf uit Buffalo, New York, maar dat ontkent een relatie te hebben met CoolWebSearch. De zoekmachine zelf laat op haar website weten niets te maken hebben met het omstreden programma dat - zo blijkt uit nieuwsgroepen - tal van pc’s infecteert. De zoekmachine vermoedt dat een van de aangesloten websites probeert zijn omzet te verhogen. Gelet op het fanatisme waarmee de programmeurs te werk gaan, moet er echter wel heel erg veel geld mee zijn gemoeid. Slimme procedure Het programma dook voor het eerst op in de zomer van 2003 en viel meteen op door een slimme installatieprocedure. Via een pop-upscherm wordt ongemerkt een websjabloon (‘stylesheet’) geïnstalleerd, dat ervoor zorgt dat de startpagina van Internet Explorer wordt gewijzigd. Het programma is de laatste maanden steeds venijniger geworden doordat het zich diep in Windows wortelt, zodanig dat het verwijderen van de bestanden van de ‘trojan’ (als ze die al kunnen vinden) ertoe leidt dat gebruikers geen internetverbinding meer kunnen krijgen. Andere versies vermommen zich als ‘driver updates’ en in een geval werden de bestanden van de Windows Media Player vervangen door een trojaans paard dat actief werd zodra men de speler startte. Een aantal weken geleden werd ook de laptop van de schrijver van dit artikel geïnfecteerd. De bestanden van het CoolWebSearch-programma waren niet te wissen, of werden spontaan teruggeplaatst, zoals Windows essentiële systeembestanden terugzet als ze per abuis worden verwijderd. Inmiddels zijn er tot half april niet minder dan 39 varianten van CWS verschenen, plus nog eens vier varianten die verwijzen naar aangesloten websites. Verwijderprogramma De Nederlandse student Merijn Bellekom heeft voor alle varianten een verwijderprogramma ontwikkeld, dat ook de kapers niet is ontgaan. De jongste versies van de browserkaper proberen zijn programma en andere antispywareprogramma’s te sluiten zodra men het wil opstarten. En als gebruikers zijn CWShredder willen ophalen, stuurt een geïnfecteerde webbrowser ze hondsbrutaal naar een pornosite. De website van Bellekom is al diverse malen met DDos-aanvallen bestookt. Bellekom is het nog niet gelukt om een programma te schrijven dat de laatste variant weg kan krijgen. Dat moet nu nog handmatig gebeuren. Bellekom noemt de nieuwste variant, die in maart opdook, ‘een nachtmerrie’. "Het is alsof een kwaadwillige programmeur de opdracht heeft gegeven om de meest complexe, onzichtbare en gemene browserkaper ooit te ontwikkelen. Dat is gelukt." Er wordt onder meer een bestand met een willekeurige naam aangemaakt die niet eens te zien is in het overzicht van Windows-processen en dus moeilijk kan worden gestopt. De programmeurs maken gebruik van diverse beveiligingslekken in Windows, waaronder de lekken in de Java Virtual Machine van Microsoft zelf. De nieuwste variant zou gebruikmaken van een HTML- lek in het Help-bestand van Windows. CoolWebSearch is niet de eerste browserkaper, maar wel de gevaarlijkste tot nu toe. En dus gaan er stemmen op om dit soort software strafbaar te maken. Amerikaanse politici dringen aan op wetgeving, maar toezichthouder FCC is bang dat daarmee ook legitieme adware-software wordt getroffen en dringt aan op zelfregulering. Informatie over bestrijding van CoolWebSearch staat op de site ‘www.merijn.org’.