Searchtabs.io wordt geleverd met persistentiemechanisme

Searchtabs.io is de URL van een valse zoekmachine. Tijdens het onderzoeken van verdachte websites kwam ons team een misleidende webpagina tegen die expliciete inhoud gebruikte om gebruikers te verleiden een installatie-installatie te downloaden. Deze specifieke opstelling omvatte een browserkaper die het gebruik van de searchtabs.io-website promoot.

Hoewel software die in deze categorie valt doorgaans de browserinstellingen wijzigt om bepaalde websites te ondersteunen, heeft deze opstelling in onze testomgeving geen wijzigingen in de browser aangebracht. Het is vermeldenswaard dat deze kaper een techniek gebruikt om de persistentie ervan te garanderen, waardoor het voor gebruikers een uitdaging wordt om de controle over hun browsers terug te krijgen.

Nadat we de installatie die searchtabs.io promoot op onze testmachine hadden geïnstalleerd, ontdekten we dat dit invloed heeft op nieuwe browsertabbladen en -vensters. Telkens wanneer een nieuw tabblad of venster wordt geopend, wordt deze automatisch doorgestuurd naar searchtabs.io, waarbij elke omleiding een willekeurige zoekopdracht bevat.

Valse zoekmachines worden als zodanig bestempeld omdat ze doorgaans geen legitieme zoekresultaten kunnen leveren en gebruikers in plaats daarvan omleiden naar bekende internetzoekmachines zoals Bing, Google of Yahoo. Browserkapingsoftware heeft de neiging om doorverwijzingen naar illegale zoekmachines te activeren wanneer gebruikers nieuwe tabbladen of vensters openen of zoekopdrachten in de URL-balk invoeren. Zoals eerder vermeld is het gedrag van de browserkaper die searchtabs.io promoot echter anders dan normaal.

Bovendien maakt deze software gebruik van een techniek om de persistentie ervan te garanderen. Deze omleidingen worden geïnitieerd via een proces dat bekend staat als "UITheme.exe." Door dit proces alleen te beëindigen, worden de omleidingen echter niet geëlimineerd. De browserkaper maakt gebruik van een tool genaamd "ServiceUI" uit de Microsoft Deployment Toolkit, die ervoor zorgt dat "UITheme.exe" opnieuw wordt opgestart, zelfs als deze handmatig wordt beëindigd via Windows Taakbeheer of nadat het systeem opnieuw is opgestart.

Wat zijn enkele veelgebruikte methoden die kwaadaardige software gebruikt om persistentie te bereiken?

Schadelijke software maakt vaak gebruik van verschillende technieken om persistentie op een gecompromitteerd systeem te bereiken. Deze methoden zorgen ervoor dat de malware actief en operationeel blijft, zelfs nadat het systeem opnieuw is opgestart of probeert deze te verwijderen. Hier zijn enkele veelgebruikte methoden om doorzettingsvermogen te bereiken:

  • Opstartprogramma's en -services: Malware kan vermeldingen toevoegen aan systeemopstartprogramma's of -services, zodat deze elke keer dat het systeem opstart, worden uitgevoerd.
  • Registersleutels: Malware kan het Windows-register wijzigen om sleutels en waarden te maken of te wijzigen die de malware uitvoeren tijdens het opstarten van het systeem.
  • Geplande taken: Schadelijke software kan geplande taken maken die met bepaalde tussenpozen worden uitgevoerd, waardoor de malware voortdurend op de achtergrond kan worden uitgevoerd.
  • Autostartlocaties: Malware kan zichzelf toevoegen aan autostartlocaties, zoals de map Opstarten in het menu Start of de map Opstarten in de map Alle gebruikers.
  • Browserextensies en add-ons: Browsergebaseerde malware, zoals adware of browserkapers, kan extensies of add-ons in webbrowsers installeren om het browsen van gebruikers te controleren en te manipuleren.
  • Servicecreatie: Schadelijke software kan nieuwe Windows-services creëren of bestaande services manipuleren om de voortdurende werking ervan te garanderen.
  • DLL-injectie: Malware kan zichzelf in legitieme processen injecteren of zijn Dynamic-Link Library (DLL) in systeemprocessen laden, waardoor zijn aanwezigheid wordt verhuld.
  • Wijzigingen in het bestandssysteem: Malware kan verborgen of systeembestanden en -mappen creëren om de componenten of configuratiegegevens op te slaan, waardoor deze moeilijk te detecteren zijn.
  • Bootkit- of rootkit-installatie: Geavanceerde malware kan bootkits of rootkits installeren, die het opstartproces of het kernbesturingssysteem in gevaar brengen, waardoor ze uiterst moeilijk te detecteren en te verwijderen zijn.

Tegen Zaib
October 20, 2023
Browser Hijacker, Malware
Nederlands
October 20, 2023
Browser Hijacker, Malware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.