Owen Little
0 
1426
84
Upoznajte Kylea i Stana. Ne, ne govorim o dudačkom duetu iz South Parka, već o najnovijoj mreži reklamiranja iz pakla. To je genijalno. To je štetno. A prijeti i Mac i Windows korisnicima.
Zlouporaba je predstavljanje "zlonamjernog softvera" i "oglašavanja". Način rada je jednostavan. Prvo, legitimni kanali za mrežno oglašavanje koriste se kako bi preglednici prisilili na preuzimanje zloćudnog softvera. Uznemirujuće je da žrtve čak ne trebaju biti na web mjestu osumnjičenih. Ti su zlonamjerni oglasi čak posluženi na tako bezazlenim web lokacijama kao što su Amazon.com, Apple.com i ads.yahoo.com.
Kyle i Stan koriste se društvenim inženjeringom kako bi pumpali vaše računalo prepuno neželjenog i neugodnog zlonamjernog softvera. Znatiželjno kako se možete uzvratiti? Nastavi čitati.
Kako djeluje Attack
Napad je ovisan o brojnim stvarima. Prvo je na neki način uvjeriti tradicionalnu (i legitimnu) mrežu oglašavanja - kao što je DoubleClick, Google - da pokrene oglas koji sadrži zlonamjerni kod. Iako ga oglasna mreža ne prepoznaje, ovaj oglas se zatim kaskadno preusmjerava na druge zakonite web lokacije, koje se izvršavaju u pregledniku, a zatim preusmjeravaju korisnike na web lokacije koje poslužuju zlonamjeran softver.
Zlonamjerni softver također određuje koji se operativni sustav i preglednici koriste ispitivanjem niza korisničkih agenata koji sadrži mnoštvo informacija o konfiguraciji računala. Sadrži sve, od razlučivosti zaslona do dodataka koji se pokreću u pregledniku.
Nakon što zlonamjerni softver utvrdi operativni sustav korisnika, tada donosi odluku gdje preusmjeriti preglednik. Korisnici Mac računala šalju se na web lokacije koje poslužuju zlonamjerni softver koji je specifičan za OS X i u paketu je kao DMG, dok se korisnici sustava Windows šalju na web mjesta koja poslužuju Windows malware kao izvršne datoteke.
Tada će vaš preglednik automatski preuzeti zlonamjerni softver. Ovo izvješćuje da je skup legitimnog softvera - obično medijskog playera - uz nekoliko paketa zlonamjernog softvera i konfiguracijske datoteke specifične za korisnika..
Kao što je Ciscov blog blog koji je u početku identificirao zlonamjerni softver primijetio, zanimljivost "Kyle i Stana" jest da on napada i Mac korisnike. To su korisnici koji se tradicionalno nisu morali nositi sa sigurnosnim rizicima koji su svojstveni Microsoftovom Windowsu i kao rezultat toga mogu biti ranjiviji na socijalni aspekt napada.
Zlonamjerni softver koji su poslužili Kyle i Stan bitno se razlikuje u načinu rada i načinu uklanjanja za svaku ciljanu platformu. Znatiželjan? Nastavi čitati.
Zlonamjerni softver Windows
Zlonamjerni softver za Windows 32-bitna je Windows aplikacija napisana C ++. Nakon izvršenja instalira nekoliko komada zlonamjernog softvera, kao i NewPlayer. Ovo dolazi prerušeno u medijski player, što je legitimna strana koja prikriva druge, manje legitimne aktivnosti. Naime, otima Internet Explorer, Google Chrome i Firefox i služi neželjene reklame i skočne prozore te otima promet pretraživanja.
Zlonamjerni softver koji su koristili Kyle i Stan zamračuje svoju aktivnost nečim što se naziva Dynamic Forking. To djeluje otmicom zakonitih procesa i zamjenjuje ih drugim aktivnostima. To omogućava zlonamjernom softveru da zaobiđe sigurnosne značajke sustava Windows, a omogućuje mu da instalira novi zlonamjerni softver bez sumnje. Detaljnije objašnjenje kako to može potražiti na Ciscovom postu na blogu.
Dynamic Forking nevjerojatno je izazovno ublažavanje. To također pokazuje ekstremnu razinu sofisticiranosti ovog određenog zlonamjernog softvera. Ali što je s uklanjanjem? Pa, rješavanje NewPlayera je dobro dokumentiran, dobro razumljiv proces. No, kao što je ranije spomenuto, ovo instalira (i može instalirati) ostale proizvoljne pakete. Kao rezultat, savjetujemo vam da imate ažuriranu i trenutnu antivirusnu instalaciju. To je u potpunosti dokumentirano u našem Vodiču za uklanjanje zlonamjernog softvera.
Zlonamjerni softver Mac
Ali što je s zlonamjernim softverom Mac? Kad Mac posjeti web mjesto na kojem se prikazuje oglas Kyle i Stan, DMG se automatski preuzima. Unutra je kopija MPlayerX-a, legitimnog medijskog playera kojeg je prošle godine pregledao moj kolega, Dave LeClair.
Dolazi u paketu s dva manje-dopuštena dijela zlonamjernog softvera. Obojica su otmičari preglednika: Conduit i VSearch. Conduit ima legitimitet furnira - stvorila ga je stvarna tvrtka sa zaposlenicima, uredima i poštanskim adresama - a korisnik ima mogućnost odustati od instaliranja ovog određenog otmičara preglednika. No, ne postoji takva mogućnost za VSearch.
Ponašanje VSearch-a u skladu je s većinom otmičara preglednika. Promet pretraživanja preusmjerava se putem vlastitih portala na kojima su oglašeni vlastiti oglasi, a povremene se reklame pokreću. To je neugodno i nametljivo. I što je još važnije, prijetnja je vašoj privatnosti. VSearch također započinje u vrijeme izvršavanja, jer se lanser dodava u startctl nakon instaliranja.
Ipak, uklanjanje je relativno jednostavno. Samo ispustite sljedeće smeće u smeće:
/ Biblioteka / Podrška aplikacijama / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / knjižnica / privilegiraniHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Što možeš učiniti?
Poraziti Kylea i Stana je lako. Samo trebate biti nevjerojatno budni. Je li vaše računalo automatski preuzelo izvršnu datoteku koju niste očekivali? Izgleda li ribasto? Jeste li preusmjereni na stranicu za preuzimanje dijela softvera s kojim niste upoznati? Sve su to razlozi za zabrinutost.
Također bih vas potaknuo da na vašem sustavu bude pokrenut moderni, ažurirani antivirus. To vrijedi i za Mac korisnike. Dosta mi je drag antivirus Sophos OS X.
Jesu li vas pogodili Kyle i Stan? Obavijestite me o tome. Okvir za komentare nalazi se u nastavku.
Kreditna slika: Cisco