Searchtabs.io jest wyposażony w mechanizm utrwalania
Searchtabs.io to adres URL fałszywej wyszukiwarki. Podczas sprawdzania podejrzanych witryn nasz zespół natknął się na zwodniczą stronę internetową, która zawierała treści dla dorosłych, aby nakłonić użytkowników do pobrania pliku instalacyjnego. Ta konkretna konfiguracja zawierała porywacza przeglądarki, który promuje korzystanie ze strony searchtabs.io.
Chociaż oprogramowanie należące do tej kategorii zazwyczaj zmienia ustawienia przeglądarki w celu wspierania określonych witryn internetowych, ta konfiguracja w naszym środowisku testowym nie spowodowała żadnych zmian w przeglądarce. Warto zauważyć, że ten porywacz wykorzystuje technikę zapewniającą trwałość, co utrudnia użytkownikom odzyskanie kontroli nad swoimi przeglądarkami.
Po zainstalowaniu na naszej maszynie testowej konfiguracji promującej searchtabs.io odkryliśmy, że wpływa ona na nowe karty i okna przeglądarki. Za każdym razem, gdy otwierana jest nowa karta lub okno, następuje automatyczne przekierowanie do searchtabs.io, a każde przekierowanie zawiera losowe zapytanie.
Fałszywe wyszukiwarki są jako takie oznaczone, ponieważ zazwyczaj nie mogą dostarczać wiarygodnych wyników wyszukiwania i zamiast tego przekierowują użytkowników do dobrze znanych wyszukiwarek internetowych, takich jak Bing, Google czy Yahoo. Oprogramowanie porywające przeglądarkę zwykle uruchamia przekierowania do nielegalnych wyszukiwarek, gdy użytkownicy otwierają nowe karty lub okna albo wprowadzają wyszukiwane hasła w pasku adresu URL. Jednakże, jak wspomniano wcześniej, zachowanie porywacza przeglądarki promującego searchtabs.io odbiega od normy.
Ponadto oprogramowanie to wykorzystuje technikę zapewniającą jego trwałość. Te przekierowania są inicjowane poprzez proces znany jako „UITheme.exe”. Jednak samo zakończenie tego procesu nie eliminuje przekierowań. Porywacz przeglądarki wykorzystuje narzędzie o nazwie „ServiceUI” z pakietu Microsoft Deployment Toolkit, które zapewnia ponowne uruchomienie „UITheme.exe”, nawet jeśli zostanie ono ręcznie zakończone za pomocą Menedżera zadań Windows lub po ponownym uruchomieniu systemu.
Jakie są typowe metody wykorzystywane przez złośliwe oprogramowanie w celu uzyskania trwałości?
Złośliwe oprogramowanie często wykorzystuje różne techniki, aby utrzymać trwałość zaatakowanego systemu. Metody te zapewniają, że złośliwe oprogramowanie pozostanie aktywne i operacyjne nawet po ponownym uruchomieniu systemu lub próbach jego usunięcia. Oto kilka typowych metod stosowanych w celu osiągnięcia trwałości:
- Programy i usługi startowe: Złośliwe oprogramowanie może dodawać wpisy do programów lub usług startowych systemu, zapewniając ich działanie przy każdym uruchomieniu systemu.
- Klucze rejestru: Złośliwe oprogramowanie może modyfikować rejestr systemu Windows w celu tworzenia lub modyfikowania kluczy i wartości uruchamiających złośliwe oprogramowanie podczas uruchamiania systemu.
- Zaplanowane zadania: złośliwe oprogramowanie może tworzyć zaplanowane zadania, które będą uruchamiane w określonych odstępach czasu, dzięki czemu złośliwe oprogramowanie będzie stale działać w tle.
- Lokalizacje autostartu: Złośliwe oprogramowanie może dodać się do lokalizacji autostartu, takich jak folder Autostart w menu Start lub folder Autostart w katalogu All Users.
- Rozszerzenia i dodatki przeglądarki: złośliwe oprogramowanie oparte na przeglądarce, takie jak oprogramowanie reklamowe lub porywacze przeglądarki, może instalować rozszerzenia lub dodatki w przeglądarkach internetowych w celu kontrolowania przeglądania użytkownika i manipulowania nim.
- Tworzenie usług: złośliwe oprogramowanie może tworzyć nowe usługi systemu Windows lub manipulować istniejącymi, aby zapewnić ich ciągłe działanie.
- Wstrzykiwanie bibliotek DLL: złośliwe oprogramowanie może wstrzyknąć się do legalnych procesów lub załadować swoją bibliotekę dołączaną dynamicznie (DLL) do procesów systemowych, ukrywając swoją obecność.
- Zmiany w systemie plików: Złośliwe oprogramowanie może tworzyć ukryte lub systemowe pliki i foldery do przechowywania swoich komponentów lub danych konfiguracyjnych, co utrudnia wykrycie.
- Instalacja bootkitów lub rootkitów: Zaawansowane złośliwe oprogramowanie może instalować bootkity lub rootkity, które zagrażają procesowi uruchamiania lub podstawowemu systemowi operacyjnemu, przez co są niezwykle trudne do wykrycia i usunięcia.