Searchtabs.io jest wyposażony w mechanizm utrwalania

Searchtabs.io to adres URL fałszywej wyszukiwarki. Podczas sprawdzania podejrzanych witryn nasz zespół natknął się na zwodniczą stronę internetową, która zawierała treści dla dorosłych, aby nakłonić użytkowników do pobrania pliku instalacyjnego. Ta konkretna konfiguracja zawierała porywacza przeglądarki, który promuje korzystanie ze strony searchtabs.io.

Chociaż oprogramowanie należące do tej kategorii zazwyczaj zmienia ustawienia przeglądarki w celu wspierania określonych witryn internetowych, ta konfiguracja w naszym środowisku testowym nie spowodowała żadnych zmian w przeglądarce. Warto zauważyć, że ten porywacz wykorzystuje technikę zapewniającą trwałość, co utrudnia użytkownikom odzyskanie kontroli nad swoimi przeglądarkami.

Po zainstalowaniu na naszej maszynie testowej konfiguracji promującej searchtabs.io odkryliśmy, że wpływa ona na nowe karty i okna przeglądarki. Za każdym razem, gdy otwierana jest nowa karta lub okno, następuje automatyczne przekierowanie do searchtabs.io, a każde przekierowanie zawiera losowe zapytanie.

Fałszywe wyszukiwarki są jako takie oznaczone, ponieważ zazwyczaj nie mogą dostarczać wiarygodnych wyników wyszukiwania i zamiast tego przekierowują użytkowników do dobrze znanych wyszukiwarek internetowych, takich jak Bing, Google czy Yahoo. Oprogramowanie porywające przeglądarkę zwykle uruchamia przekierowania do nielegalnych wyszukiwarek, gdy użytkownicy otwierają nowe karty lub okna albo wprowadzają wyszukiwane hasła w pasku adresu URL. Jednakże, jak wspomniano wcześniej, zachowanie porywacza przeglądarki promującego searchtabs.io odbiega od normy.

Ponadto oprogramowanie to wykorzystuje technikę zapewniającą jego trwałość. Te przekierowania są inicjowane poprzez proces znany jako „UITheme.exe”. Jednak samo zakończenie tego procesu nie eliminuje przekierowań. Porywacz przeglądarki wykorzystuje narzędzie o nazwie „ServiceUI” z pakietu Microsoft Deployment Toolkit, które zapewnia ponowne uruchomienie „UITheme.exe”, nawet jeśli zostanie ono ręcznie zakończone za pomocą Menedżera zadań Windows lub po ponownym uruchomieniu systemu.

Jakie są typowe metody wykorzystywane przez złośliwe oprogramowanie w celu uzyskania trwałości?

Złośliwe oprogramowanie często wykorzystuje różne techniki, aby utrzymać trwałość zaatakowanego systemu. Metody te zapewniają, że złośliwe oprogramowanie pozostanie aktywne i operacyjne nawet po ponownym uruchomieniu systemu lub próbach jego usunięcia. Oto kilka typowych metod stosowanych w celu osiągnięcia trwałości:

  • Programy i usługi startowe: Złośliwe oprogramowanie może dodawać wpisy do programów lub usług startowych systemu, zapewniając ich działanie przy każdym uruchomieniu systemu.
  • Klucze rejestru: Złośliwe oprogramowanie może modyfikować rejestr systemu Windows w celu tworzenia lub modyfikowania kluczy i wartości uruchamiających złośliwe oprogramowanie podczas uruchamiania systemu.
  • Zaplanowane zadania: złośliwe oprogramowanie może tworzyć zaplanowane zadania, które będą uruchamiane w określonych odstępach czasu, dzięki czemu złośliwe oprogramowanie będzie stale działać w tle.
  • Lokalizacje autostartu: Złośliwe oprogramowanie może dodać się do lokalizacji autostartu, takich jak folder Autostart w menu Start lub folder Autostart w katalogu All Users.
  • Rozszerzenia i dodatki przeglądarki: złośliwe oprogramowanie oparte na przeglądarce, takie jak oprogramowanie reklamowe lub porywacze przeglądarki, może instalować rozszerzenia lub dodatki w przeglądarkach internetowych w celu kontrolowania przeglądania użytkownika i manipulowania nim.
  • Tworzenie usług: złośliwe oprogramowanie może tworzyć nowe usługi systemu Windows lub manipulować istniejącymi, aby zapewnić ich ciągłe działanie.
  • Wstrzykiwanie bibliotek DLL: złośliwe oprogramowanie może wstrzyknąć się do legalnych procesów lub załadować swoją bibliotekę dołączaną dynamicznie (DLL) do procesów systemowych, ukrywając swoją obecność.
  • Zmiany w systemie plików: Złośliwe oprogramowanie może tworzyć ukryte lub systemowe pliki i foldery do przechowywania swoich komponentów lub danych konfiguracyjnych, co utrudnia wykrycie.
  • Instalacja bootkitów lub rootkitów: Zaawansowane złośliwe oprogramowanie może instalować bootkity lub rootkity, które zagrażają procesowi uruchamiania lub podstawowemu systemowi operacyjnemu, przez co są niezwykle trudne do wykrycia i usunięcia.

Do Zaib
October 20, 2023
Browser Hijacker, Malware
Polski
October 20, 2023
Browser Hijacker, Malware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.