Searchtabs.io vem com mecanismo de persistência

Searchtabs.io é o URL de um mecanismo de pesquisa falsificado. Ao examinar sites suspeitos, nossa equipe se deparou com uma página enganosa que usava conteúdo explícito para convencer os usuários a baixar uma configuração de instalação. Esta configuração específica incluía um sequestrador de navegador que promove o uso do site searchtabs.io.

Embora o software que se enquadra nesta categoria normalmente altere as configurações do navegador para endossar determinados sites, essa configuração, em nosso ambiente de teste, não fez nenhuma alteração no navegador. É importante notar que este sequestrador emprega uma técnica para garantir a sua persistência, tornando difícil para os utilizadores recuperarem o controlo dos seus navegadores.

Depois de instalar a configuração que promove searchtabs.io em nossa máquina de teste, descobrimos que ela afeta novas guias e janelas do navegador. Sempre que uma nova aba ou janela é aberta, ela redireciona automaticamente para searchtabs.io, com cada redirecionamento apresentando uma consulta de pesquisa aleatória.

Os mecanismos de pesquisa falsos são rotulados como tal porque geralmente não podem fornecer resultados de pesquisa legítimos e, em vez disso, redirecionam os utilizadores para mecanismos de pesquisa da Internet bem conhecidos, como Bing, Google ou Yahoo. O software de sequestro de navegador tende a desencadear redirecionamentos para mecanismos de pesquisa ilegítimos quando os usuários abrem novas guias ou janelas ou inserem consultas de pesquisa na barra de URL. No entanto, como mencionado anteriormente, o comportamento do sequestrador de navegador que promove searchtabs.io é diferente da norma.

Além disso, este software emprega uma técnica para garantir sua persistência. Esses redirecionamentos são iniciados por meio de um processo conhecido como “UITheme.exe”. No entanto, encerrar esse processo por si só não elimina os redirecionamentos. O sequestrador de navegador utiliza uma ferramenta chamada "ServiceUI" do Microsoft Deployment Toolkit, que garante que "UITheme.exe" seja reiniciado mesmo se for encerrado manualmente através do Gerenciador de Tarefas do Windows ou após a reinicialização do sistema.

Quais são alguns dos métodos comuns usados por software malicioso para obter persistência?

O software malicioso geralmente emprega várias técnicas para obter persistência em um sistema comprometido. Esses métodos garantem que o malware permaneça ativo e operacional mesmo após a reinicialização do sistema ou tentativas de removê-lo. Aqui estão alguns métodos comuns usados para alcançar persistência:

  • Programas e serviços de inicialização: o malware pode adicionar entradas a programas ou serviços de inicialização do sistema, garantindo que ele seja executado sempre que o sistema for inicializado.
  • Chaves de registro: o malware pode modificar o registro do Windows para criar ou modificar chaves e valores que executam o malware durante a inicialização do sistema.
  • Tarefas agendadas: software malicioso pode criar tarefas agendadas que são executadas em intervalos especificados, permitindo que o malware seja executado persistentemente em segundo plano.
  • Locais de inicialização automática: o malware pode se adicionar a locais de inicialização automática, como a pasta Inicialização no menu Iniciar ou a pasta Inicialização no diretório Todos os usuários.
  • Extensões e complementos de navegador: malware baseado em navegador, como adware ou sequestradores de navegador, pode instalar extensões ou complementos em navegadores da web para controlar e manipular a navegação do usuário.
  • Criação de serviços: software malicioso pode criar novos serviços do Windows ou manipular os existentes para garantir sua operação contínua.
  • Injeção de DLL: O malware pode se injetar em processos legítimos ou carregar sua biblioteca de vínculo dinâmico (DLL) em processos do sistema, disfarçando sua presença.
  • Alterações no sistema de arquivos: o malware pode criar arquivos e pastas ocultos ou de sistema para armazenar seus componentes ou dados de configuração, dificultando a detecção.
  • Instalação de bootkit ou rootkit: malware avançado pode instalar bootkits ou rootkits, que comprometem o processo de inicialização ou o sistema operacional principal, tornando-os extremamente difíceis de detectar e remover.

Por Zaib
October 20, 2023
Browser Hijacker, Malware
Portuguese
October 20, 2023
Browser Hijacker, Malware

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

5 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.