CoolWebSearch est un spyware permettant le piratage de la page de démarrage internet (voir Browser hijacker), pour une redirection vers un site choisi. Un hijacker modifie les réglages du navigateur en utilisant une page web contenant un contrôle ActiveX ou du JavaScript.
Les actions malveillantes de ce logiciel
Ce programme espion a pour but de récupérer les informations de navigation de l'internaute, afin de le rediriger vers de la publicité ciblée, très rémunérateur pour son auteur, ou de l'envoyer sur un site pour gonfler le nombre de visites de ce site, afin que les espaces publicitaires soient plus chers sur leurs pages.
Certaines variantes modifient le fichier hosts afin d'empêcher l'utilisateur d'accéder aux sites de sécurité informatique, ce qui l'empêche de télécharger les logiciels nécessaires à sa désinfection. Certains autres empêchent même l'ouverture de l'anti-trojan ou de l'anti-spyware installé sur l'ordinateur.
CoolWebSearch installe aussi à l'insu de l'utilisateur un trojan qui envoie les informations recueillies à un serveur basé au Texas. Ces informations concernent les mots de passe, comptes eBay ou PayPal, comptes bancaires,...
Sécuriser son PC
Pour éviter que le fichier hosts soit modifié pendant qu'on surfe sur internet, il faut prendre des précautions élémentaires : être connecté pour un utilisateur qui n'a pas les droits administrateurs. C'est une précaution de base qui est bien souvent ignorée, même parmi les informaticiens.
Pour les problèmes concernant la page de démarrage de Internet Explorer, ils proviennent le plus souvent des valeurs ResetWebSettings et HomePage de la base de registre.
Pour les non-informaticiens, il existe un outil pour la désinfection de CoolWebSearch : CWShredder. C'est un programme créé par Merijn, également auteur d'HijackThis. Actuellement, il est distribué par Trend Micro.