Searchtabs.io leveres med persistensmekanisme

Searchtabs.io er URL'en til en forfalsket søgemaskine. Mens vi undersøgte mistænkelige websteder, faldt vores team over en vildledende webside, der brugte eksplicit indhold til at lokke brugere til at downloade en installationsopsætning. Denne særlige opsætning inkluderede en browser hijacker, der fremmer brugen af searchtabs.io-webstedet.

Selvom software, der falder ind under denne kategori, typisk ændrer browserindstillinger for at godkende visse websteder, har denne opsætning i vores testmiljø ikke foretaget nogen ændringer i browseren. Det er værd at bemærke, at denne flykaprer anvender en teknik til at sikre dens vedholdenhed, hvilket gør det udfordrende for brugere at genvinde kontrollen over deres browsere.

Da vi først installerede den opsætning, der promoverer searchtabs.io på vores testmaskine, opdagede vi, at den påvirker nye browserfaner og vinduer. Når en ny fane eller et nyt vindue åbnes, omdirigeres det automatisk til searchtabs.io, hvor hver omdirigering indeholder en randomiseret søgeforespørgsel.

Falske søgemaskiner er mærket som sådanne, fordi de normalt ikke kan levere legitime søgeresultater og i stedet omdirigere brugere til velkendte internetsøgemaskiner som Bing, Google eller Yahoo. Browserkapringssoftware har en tendens til at udløse omdirigeringer til illegitime søgemaskiner, når brugere åbner nye faner eller vinduer eller indtaster søgeforespørgsler i URL-linjen. Men som tidligere nævnt er adfærden hos browserkapreren, der promoverer searchtabs.io, forskellig fra normen.

Derudover bruger denne software en teknik til at sikre dens vedholdenhed. Disse omdirigeringer initieres gennem en proces kendt som "UITheme.exe." Afslutning af denne proces alene eliminerer dog ikke omdirigeringerne. Browser hijackeren bruger et værktøj kaldet "ServiceUI" fra Microsoft Deployment Toolkit, som sikrer, at "UITheme.exe" genstartes, selvom det manuelt afsluttes via Windows Task Manager eller efter systemgenstarter.

Hvad er nogle af de almindelige metoder, som ondsindet software bruger til at opnå persistens?

Ondsindet software anvender ofte forskellige teknikker til at opnå persistens på et kompromitteret system. Disse metoder sikrer, at malwaren forbliver aktiv og operationel, selv efter systemet genstarter eller forsøger at fjerne det. Her er nogle almindelige metoder, der bruges til at opnå vedholdenhed:

  • Opstartsprogrammer og -tjenester: Malware kan tilføje indgange til systemopstartsprogrammer eller -tjenester, hvilket sikrer, at det kører, hver gang systemet starter.
  • Registreringsnøgler: Malware kan ændre Windows-registreringsdatabasen for at oprette eller ændre nøgler og værdier, der udfører malwaren under systemstart.
  • Planlagte opgaver: Ondsindet software kan skabe planlagte opgaver, der kører med bestemte intervaller, hvilket gør det muligt for malwaren konstant at køre i baggrunden.
  • Autostart-placeringer: Malware kan tilføje sig selv til autostart-placeringer, såsom mappen Startup i menuen Start eller mappen Startup i mappen Alle brugere.
  • Browserudvidelser og tilføjelser: Browserbaseret malware, såsom adware eller browser hijackers, kan installere udvidelser eller tilføjelser i webbrowsere for at kontrollere og manipulere brugernes browsing.
  • Serviceoprettelse: Ondsindet software kan skabe nye Windows-tjenester eller manipulere eksisterende for at sikre dens fortsatte drift.
  • DLL-injektion: Malware kan injicere sig selv i legitime processer eller indlæse dets dynamiske linkbibliotek (DLL) i systemprocesser og skjule dets tilstedeværelse.
  • Filsystemændringer: Malware kan skabe skjulte filer eller systemfiler og mapper til at gemme dets komponenter eller konfigurationsdata, hvilket gør det vanskeligt at opdage.
  • Bootkit eller Rootkit Installation: Avanceret malware kan installere bootkits eller rootkits, som kompromitterer opstartsprocessen eller kerneoperativsystemet, hvilket gør dem ekstremt vanskelige at opdage og fjerne.

I Zaib
October 20, 2023
Browser Hijacker, Malware
Dansk
October 20, 2023
Browser Hijacker, Malware

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

5 days siden

Trojan Al11 Malware Detektion

11 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.