A Searchtabs.io tartóssági mechanizmussal érkezik
A Searchtabs.io egy hamisított keresőmotor URL-je. Gyanús webhelyek vizsgálata során csapatunk egy megtévesztő weboldalra bukkant, amely nyílt tartalommal csábította a felhasználókat egy telepítési beállítás letöltésére. Ez a különleges beállítás tartalmazott egy böngésző-gépeltérítőt, amely elősegíti a searchtabs.io webhely használatát.
Míg az ebbe a kategóriába tartozó szoftverek jellemzően módosítják a böngésző beállításait bizonyos webhelyek jóváhagyása érdekében, ez a beállítás a tesztkörnyezetünkben nem változtatott a böngészőben. Érdemes megjegyezni, hogy ez a gépeltérítő olyan technikát alkalmaz, amely biztosítja a tartósságát, ami kihívást jelent a felhasználók számára a böngészők feletti irányítás visszaszerzésében.
Miután telepítettük a searchtabs.io-t népszerűsítő beállítást a tesztgépünkre, felfedeztük, hogy az hatással van az új böngészőlapokra és -ablakokra. Amikor egy új lap vagy ablak nyílik meg, az automatikusan átirányít a searchtabs.io oldalra, és minden átirányítás véletlenszerű keresési lekérdezést tartalmaz.
A hamis keresőmotorok azért vannak címkézve, mert általában nem tudnak legitim keresési eredményeket nyújtani, és ehelyett olyan jól ismert internetes keresőmotorokhoz irányítják át a felhasználókat, mint a Bing, a Google vagy a Yahoo. A böngésző-eltérítő szoftverek általában átirányításokat váltanak ki az illegitim keresőmotorokhoz, amikor a felhasználók új lapot vagy ablakot nyitnak meg, vagy keresési lekérdezéseket írnak be az URL-sávba. Azonban, amint azt korábban említettük, a searchtabs.io oldalt népszerűsítő böngésző-gépeltérítő viselkedése eltér a megszokottól.
Ezenkívül ez a szoftver olyan technikát alkalmaz, amely biztosítja a tartósságát. Ezeket az átirányításokat az „UITheme.exe” néven ismert folyamat kezdeményezi. Ennek a folyamatnak a leállítása azonban önmagában nem szünteti meg az átirányításokat. A böngésző-eltérítő a Microsoft Deployment Toolkit "ServiceUI" nevű eszközét használja, amely biztosítja, hogy az "UITheme.exe" újrainduljon még akkor is, ha manuálisan leállítják a Windows Feladatkezelőn keresztül vagy a rendszer újraindítását követően.
Melyek azok a gyakori módszerek, amelyeket a rosszindulatú szoftverek a tartósság elérésére használnak?
A rosszindulatú szoftverek gyakran különféle technikákat alkalmaznak a feltört rendszeren való fennmaradás érdekében. Ezek a módszerek biztosítják, hogy a rosszindulatú program a rendszer újraindítása vagy eltávolítási kísérlete után is aktív és működőképes maradjon. Íme néhány általános módszer a kitartás elérésére:
- Indítási programok és szolgáltatások: A rosszindulatú programok bejegyzéseket adhatnak a rendszerindítási programokhoz vagy szolgáltatásokhoz, biztosítva, hogy a rendszer minden induláskor lefusson.
- Rendszerleíróadatbázis-kulcsok: A rosszindulatú programok módosíthatják a Windows rendszerleíró adatbázisát, és olyan kulcsokat és értékeket hozhatnak létre, amelyek végrehajtják a rosszindulatú programot a rendszer indításakor.
- Ütemezett feladatok: A rosszindulatú szoftverek ütemezett feladatokat hozhatnak létre, amelyek meghatározott időközönként futnak, lehetővé téve, hogy a kártevő folyamatosan futhasson a háttérben.
- Automatikus indítási helyek: A rosszindulatú programok hozzáadhatják magukat az automatikus indítási helyekhez, például a Start menü Indítási mappájához vagy az Összes felhasználó könyvtárának Indítási mappájához.
- Böngészőbővítmények és -bővítmények: A böngészőalapú rosszindulatú programok, például a reklámprogramok vagy a böngésző-eltérítők bővítményeket vagy kiegészítőket telepíthetnek a webböngészőkbe a felhasználói böngészés szabályozása és manipulálása érdekében.
- Szolgáltatás létrehozása: A rosszindulatú szoftverek új Windows-szolgáltatásokat hozhatnak létre, vagy módosíthatják a meglévőket, hogy biztosítsák folyamatos működésüket.
- DLL-befecskendezés: A rosszindulatú programok befecskendezhetik magukat legitim folyamatokba, vagy betölthetik dinamikus kapcsolati könyvtárát (DLL) a rendszerfolyamatokba, álcázva jelenlétét.
- Fájlrendszer-módosítások: A rosszindulatú programok rejtett vagy rendszerfájlokat és mappákat hozhatnak létre az összetevők vagy konfigurációs adatok tárolására, ami megnehezíti az észlelést.
- Bootkit vagy Rootkit telepítése: A fejlett rosszindulatú programok indítókészleteket vagy rootkiteket telepíthetnek, amelyek veszélyeztetik a rendszerindítási folyamatot vagy az alapvető operációs rendszert, és rendkívül megnehezítik azok észlelését és eltávolítását.