Searchtabs.io viene fornito con un meccanismo di persistenza

Searchtabs.io è l'URL di un motore di ricerca contraffatto. Durante l'esame di siti Web sospetti, il nostro team si è imbattuto in una pagina Web ingannevole che utilizzava contenuti espliciti per indurre gli utenti a scaricare una configurazione di installazione. Questa particolare configurazione includeva un browser hijacker che promuove l'uso del sito web searchtabs.io.

Sebbene i software che rientrano in questa categoria in genere alterano le impostazioni del browser per supportare determinati siti Web, questa configurazione, nel nostro ambiente di test, non ha apportato alcuna modifica al browser. Vale la pena notare che questo dirottatore utilizza una tecnica per garantirne la persistenza, rendendo difficile per gli utenti riprendere il controllo dei propri browser.

Una volta installata la configurazione che promuove searchtabs.io sul nostro computer di prova, abbiamo scoperto che influisce sulle nuove schede e finestre del browser. Ogni volta che viene aperta una nuova scheda o finestra, viene reindirizzata automaticamente a searchtabs.io, con ogni reindirizzamento caratterizzato da una query di ricerca casuale.

I motori di ricerca falsi vengono etichettati come tali perché di solito non sono in grado di fornire risultati di ricerca legittimi e reindirizzano invece gli utenti a motori di ricerca Internet noti come Bing, Google o Yahoo. I software di dirottamento del browser tendono ad attivare reindirizzamenti a motori di ricerca illegittimi quando gli utenti aprono nuove schede o finestre o inseriscono query di ricerca nella barra degli URL. Tuttavia, come accennato in precedenza, il comportamento del browser hijacker che promuove searchtabs.io è diverso dalla norma.

Inoltre, questo software utilizza una tecnica per garantirne la persistenza. Questi reindirizzamenti vengono avviati tramite un processo noto come "UITheme.exe". Tuttavia, terminare questo processo da solo non elimina i reindirizzamenti. Il browser hijacker utilizza uno strumento chiamato "ServiceUI" di Microsoft Deployment Toolkit, che garantisce che "UITheme.exe" venga riavviato anche se viene terminato manualmente tramite Task Manager di Windows o dopo il riavvio del sistema.

Quali sono alcuni dei metodi più comuni utilizzati dal software dannoso per ottenere la persistenza?

Il software dannoso utilizza spesso varie tecniche per ottenere la persistenza su un sistema compromesso. Questi metodi garantiscono che il malware rimanga attivo e operativo anche dopo il riavvio del sistema o i tentativi di rimuoverlo. Ecco alcuni metodi comuni utilizzati per ottenere la persistenza:

  • Programmi e servizi di avvio: il malware può aggiungere voci ai programmi o ai servizi di avvio del sistema, garantendone l'esecuzione a ogni avvio del sistema.
  • Chiavi di registro: il malware può modificare il registro di Windows per creare o modificare chiavi e valori che eseguono il malware durante l'avvio del sistema.
  • Attività pianificate: il software dannoso può creare attività pianificate che vengono eseguite a intervalli specifici, consentendo al malware di essere eseguito in modo persistente in background.
  • Posizioni di avvio automatico: il malware può aggiungersi alle posizioni di avvio automatico, come la cartella Esecuzione automatica nel menu Start o la cartella Esecuzione automatica nella directory Tutti gli utenti.
  • Estensioni e componenti aggiuntivi del browser: malware basati su browser, come adware o browser hijacker, possono installare estensioni o componenti aggiuntivi nei browser Web per controllare e manipolare la navigazione degli utenti.
  • Creazione di servizi: il software dannoso può creare nuovi servizi Windows o manipolare quelli esistenti per garantirne il funzionamento continuo.
  • Iniezione DLL: il malware può iniettarsi in processi legittimi o caricare la propria libreria di collegamento dinamico (DLL) nei processi di sistema, mascherando la propria presenza.
  • Modifiche al file system: il malware può creare file e cartelle nascosti o di sistema per archiviare i suoi componenti o dati di configurazione, rendendoli difficili da rilevare.
  • Installazione di bootkit o rootkit: il malware avanzato può installare bootkit o rootkit, che compromettono il processo di avvio o il sistema operativo principale, rendendoli estremamente difficili da rilevare e rimuovere.

Entro il Zaib
October 20, 2023
Browser Hijacker, Malware
Italiano
October 20, 2023
Browser Hijacker, Malware

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

5 days fa

Rilevamento malware Trojan Al11

11 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Pinaview è un'app adware completa

10 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.