Searchtabs.io には永続化メカニズムが付属しています
Searchtabs.io は、偽造検索エンジンの URL です。私たちのチームは、不審な Web サイトを調査しているときに、露骨なコンテンツを使用してユーザーをインストール セットアップのダウンロードに誘導する欺瞞的な Web ページを発見しました。この特定のセットアップには、searchtabs.io Web サイトの使用を促進するブラウザ ハイジャッカーが含まれていました。
このカテゴリに分類されるソフトウェアは通常、ブラウザの設定を変更して特定の Web サイトを推奨しますが、この設定は、テスト環境ではブラウザに変更を加えませんでした。このハイジャッカーは、その永続性を確保する手法を採用しているため、ユーザーがブラウザの制御を取り戻すことが困難になっている点は注目に値します。
searchtabs.io を促進するセットアップをテスト マシンにインストールすると、それが新しいブラウザーのタブとウィンドウに影響を与えることがわかりました。新しいタブまたはウィンドウが開かれるたびに、自動的に searchtabs.io にリダイレクトされ、各リダイレクトにはランダム化された検索クエリが含まれます。
偽の検索エンジンは通常、正規の検索結果を提供できず、ユーザーを Bing、Google、Yahoo などのよく知られたインターネット検索エンジンにリダイレクトするため、そのように分類されます。ブラウザ ハイジャック ソフトウェアは、ユーザーが新しいタブやウィンドウを開いたり、URL バーに検索クエリを入力したりすると、不正な検索エンジンへのリダイレクトをトリガーする傾向があります。ただし、前述したように、searchtabs.io を宣伝するブラウザ ハイジャッカーの動作は通常のものとは異なります。
さらに、このソフトウェアは永続性を確保するための技術を採用しています。これらのリダイレクトは、「UITheme.exe」として知られるプロセスを通じて開始されます。ただし、このプロセスを終了するだけではリダイレクトは排除されません。ブラウザ ハイジャッカーは、Microsoft Deployment Toolkit の「ServiceUI」と呼ばれるツールを利用します。これにより、「UITheme.exe」が Windows タスク マネージャまたはシステムの再起動によって手動で終了された場合でも、確実に再起動されます。
悪意のあるソフトウェアが永続性を実現するために使用する一般的な方法にはどのようなものがありますか?
悪意のあるソフトウェアは、侵害されたシステム上での永続化を実現するためにさまざまな手法を使用することがよくあります。これらの方法により、システムが再起動されたり削除が試みられた後でも、マルウェアがアクティブで動作し続けることが保証されます。永続性を実現するために使用される一般的な方法をいくつか示します。
- スタートアップ プログラムとサービス: マルウェアはシステムのスタートアップ プログラムまたはサービスにエントリを追加し、システムが起動するたびに実行されるようにする可能性があります。
- レジストリ キー: マルウェアは Windows レジストリを変更して、システム起動時にマルウェアを実行するキーと値を作成または変更する可能性があります。
- スケジュールされたタスク: 悪意のあるソフトウェアは、指定された間隔で実行されるスケジュールされたタスクを作成し、マルウェアをバックグラウンドで永続的に実行できるようにします。
- 自動起動の場所: マルウェアは、[スタート] メニューの [スタートアップ] フォルダーや [すべてのユーザー] ディレクトリの [スタートアップ] フォルダーなどの自動起動の場所に自身を追加する場合があります。
- ブラウザ拡張機能とアドオン: アドウェアやブラウザ ハイジャッカーなどのブラウザベースのマルウェアは、Web ブラウザに拡張機能やアドオンをインストールして、ユーザーの閲覧を制御および操作する可能性があります。
- サービスの作成: 悪意のあるソフトウェアは、新しい Windows サービスを作成したり、既存のサービスを操作して継続的な動作を保証したりする可能性があります。
- DLL インジェクション: マルウェアは、自身を正当なプロセスに挿入したり、そのダイナミック リンク ライブラリ (DLL) をシステム プロセスにロードして、その存在を偽装したりすることができます。
- ファイル システムの変更: マルウェアは、コンポーネントや構成データを保存するために隠しファイルやシステム ファイルやフォルダーを作成するため、検出が困難になることがあります。
- ブートキットまたはルートキットのインストール: 高度なマルウェアは、ブート プロセスまたはコア オペレーティング システムを侵害するブートキットまたはルートキットをインストールする可能性があるため、検出および削除が非常に困難になります。