Searchtabs.io est livré avec un mécanisme de persistance

Searchtabs.io est l’URL d’un moteur de recherche contrefait. En examinant des sites Web suspects, notre équipe est tombée sur une page Web trompeuse qui utilisait un contenu explicite pour inciter les utilisateurs à télécharger une configuration d'installation. Cette configuration particulière incluait un pirate de navigateur qui favorise l'utilisation du site Web searchtabs.io.

Bien que les logiciels entrant dans cette catégorie modifient généralement les paramètres du navigateur pour approuver certains sites Web, cette configuration, dans notre environnement de test, n'a apporté aucune modification au navigateur. Il convient de noter que ce pirate de l'air utilise une technique pour assurer sa persistance, ce qui rend difficile pour les utilisateurs de reprendre le contrôle de leur navigateur.

Une fois que nous avons installé la configuration qui fait la promotion de searchtabs.io sur notre machine de test, nous avons découvert qu'elle affectait les nouveaux onglets et fenêtres du navigateur. Chaque fois qu'un nouvel onglet ou une nouvelle fenêtre est ouvert, il redirige automatiquement vers searchtabs.io, chaque redirection comportant une requête de recherche aléatoire.

Les faux moteurs de recherche sont étiquetés comme tels car ils ne peuvent généralement pas fournir de résultats de recherche légitimes et redirigent plutôt les utilisateurs vers des moteurs de recherche Internet bien connus comme Bing, Google ou Yahoo. Les logiciels de piratage de navigateur ont tendance à déclencher des redirections vers des moteurs de recherche illégitimes lorsque les utilisateurs ouvrent de nouveaux onglets ou fenêtres ou saisissent des requêtes de recherche dans la barre d'URL. Cependant, comme mentionné précédemment, le comportement du pirate de navigateur faisant la promotion de searchtabs.io est distinct de la norme.

De plus, ce logiciel utilise une technique pour assurer sa persistance. Ces redirections sont initiées via un processus appelé « UITheme.exe ». Cependant, mettre fin à ce processus à lui seul n’élimine pas les redirections. Le pirate de navigateur utilise un outil appelé « ServiceUI » de Microsoft Deployment Toolkit, qui garantit que « UITheme.exe » est redémarré même s'il est arrêté manuellement via le Gestionnaire des tâches de Windows ou après un redémarrage du système.

Quelles sont certaines des méthodes courantes utilisées par les logiciels malveillants pour assurer la persistance ?

Les logiciels malveillants utilisent souvent diverses techniques pour assurer la persistance sur un système compromis. Ces méthodes garantissent que le logiciel malveillant reste actif et opérationnel même après le redémarrage du système ou les tentatives de suppression. Voici quelques méthodes courantes utilisées pour parvenir à la persistance :

  • Programmes et services de démarrage : les logiciels malveillants peuvent ajouter des entrées aux programmes ou services de démarrage du système, garantissant ainsi leur exécution à chaque démarrage du système.
  • Clés de registre : les logiciels malveillants peuvent modifier le registre Windows pour créer ou modifier des clés et des valeurs qui exécutent le logiciel malveillant lors du démarrage du système.
  • Tâches planifiées : les logiciels malveillants peuvent créer des tâches planifiées qui s'exécutent à des intervalles spécifiés, permettant ainsi au logiciel malveillant de s'exécuter de manière persistante en arrière-plan.
  • Emplacements de démarrage automatique : les logiciels malveillants peuvent s'ajouter aux emplacements de démarrage automatique, tels que le dossier de démarrage dans le menu Démarrer ou le dossier de démarrage dans le répertoire Tous les utilisateurs.
  • Extensions et modules complémentaires de navigateur : les logiciels malveillants basés sur le navigateur, tels que les logiciels publicitaires ou les pirates de navigateur, peuvent installer des extensions ou des modules complémentaires dans les navigateurs Web pour contrôler et manipuler la navigation des utilisateurs.
  • Création de services : les logiciels malveillants peuvent créer de nouveaux services Windows ou manipuler des services existants pour assurer leur fonctionnement continu.
  • Injection de DLL : les logiciels malveillants peuvent s'injecter dans des processus légitimes ou charger leur bibliothèque de liens dynamiques (DLL) dans les processus système, masquant ainsi leur présence.
  • Modifications du système de fichiers : les logiciels malveillants peuvent créer des fichiers et des dossiers cachés ou système pour stocker leurs composants ou leurs données de configuration, ce qui les rend difficiles à détecter.
  • Installation de bootkit ou de rootkit : les logiciels malveillants avancés peuvent installer des bootkits ou des rootkits, qui compromettent le processus de démarrage ou le système d'exploitation principal, les rendant extrêmement difficiles à détecter et à supprimer.

Par Zaib
October 20, 2023
Browser Hijacker, Malware
Français
October 20, 2023
Browser Hijacker, Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.