Searchtabs.io kommer med persistensmekanisme

Searchtabs.io er URL-en til en forfalsket søkemotor. Mens vi undersøkte mistenkelige nettsteder, snublet teamet vårt over en villedende nettside som brukte eksplisitt innhold for å lokke brukere til å laste ned et installasjonsoppsett. Dette bestemte oppsettet inkluderte en nettleserkaprer som fremmer bruken av nettstedet searchtabs.io.

Selv om programvare som faller inn i denne kategorien vanligvis endrer nettleserinnstillingene for å støtte visse nettsteder, gjorde ikke dette oppsettet noen endringer i nettleseren i vårt testmiljø. Det er verdt å merke seg at denne kapreren bruker en teknikk for å sikre utholdenhet, noe som gjør det utfordrende for brukere å gjenvinne kontrollen over nettleserne sine.

Når vi installerte oppsettet som promoterer searchtabs.io på testmaskinen vår, oppdaget vi at det påvirker nye nettleserfaner og vinduer. Hver gang en ny fane eller et nytt vindu åpnes, omdirigeres det automatisk til searchtabs.io, med hver omdirigering med et randomisert søk.

Falske søkemotorer er merket som sådan fordi de vanligvis ikke kan gi legitime søkeresultater og i stedet omdirigerer brukere til kjente internettsøkemotorer som Bing, Google eller Yahoo. Nettleserkapringsprogramvare har en tendens til å utløse omdirigeringer til illegitime søkemotorer når brukere åpner nye faner eller vinduer eller skriver inn søk i URL-linjen. Men som tidligere nevnt, er oppførselen til nettleserkapreren som promoterer searchtabs.io forskjellig fra normen.

I tillegg bruker denne programvaren en teknikk for å sikre utholdenhet. Disse omdirigeringene initieres gjennom en prosess kjent som "UITheme.exe." Men å avslutte denne prosessen alene eliminerer ikke omdirigeringene. Nettleserkapreren bruker et verktøy kalt "ServiceUI" fra Microsoft Deployment Toolkit, som sikrer at "UITheme.exe" startes på nytt selv om det avsluttes manuelt gjennom Windows Task Manager eller etter omstart av systemet.

Hva er noen av de vanlige metodene som skadelig programvare bruker for å oppnå utholdenhet?

Ondsinnet programvare bruker ofte ulike teknikker for å oppnå utholdenhet på et kompromittert system. Disse metodene sikrer at skadelig programvare forblir aktiv og operativ selv etter at systemet har startet på nytt eller forsøkt å fjerne det. Her er noen vanlige metoder som brukes for å oppnå utholdenhet:

• Oppstartsprogrammer og -tjenester: Skadelig programvare kan legge til oppføringer i systemoppstartsprogrammer eller -tjenester, for å sikre at den kjører hver gang systemet starter opp.
• Registernøkler: Skadelig programvare kan modifisere Windows-registeret for å opprette eller endre nøkler og verdier som utfører skadelig programvare under oppstart av systemet.
• Planlagte oppgaver: Skadelig programvare kan lage planlagte oppgaver som kjører med spesifiserte intervaller, slik at skadelig programvare kan kjøres vedvarende i bakgrunnen.
• Autostartsteder: Skadelig programvare kan legge seg selv til autostartsteder, for eksempel Oppstartsmappen i Start-menyen eller Oppstartsmappen i Alle brukere-katalogen.
• Nettleserutvidelser og tillegg: Nettleserbasert skadelig programvare, for eksempel adware eller nettleserkaprere, kan installere utvidelser eller tillegg i nettlesere for å kontrollere og manipulere brukersurfing.
• Tjenesteoppretting: Skadelig programvare kan lage nye Windows-tjenester eller manipulere eksisterende for å sikre fortsatt drift.
• DLL-injeksjon: Skadelig programvare kan injisere seg selv i legitime prosesser eller laste det dynamiske koblingsbiblioteket (DLL) inn i systemprosesser, og skjule dets tilstedeværelse.
• Filsystemendringer: Skadelig programvare kan lage skjulte eller systemfiler og mapper for å lagre komponentene eller konfigurasjonsdataene, noe som gjør det vanskelig å oppdage.
• Bootkit eller Rootkit-installasjon: Avansert skadelig programvare kan installere bootkits eller rootkits, som kompromitterer oppstartsprosessen eller kjerneoperativsystemet, noe som gjør dem ekstremt vanskelige å oppdage og fjerne.