Det är en ständig katt-och råttalek mellan skadlig kod, säkerhet programvara för företag och användare på datorn, och chansen till en sida vinna slaget verkar smal i bästa fall.
Malwarebytes visade nyligen på Malwarebytes Packas upp hur Vonteera, en skadlig kod som tidigare klassificerades som adware, är verksam.
Även om det kan vara av intresse för många hur som särskilt skadlig kod fungerar, de metoder som man använder för att infektera datorer och förbli på dem kan mycket väl vara så att de används av andra skadliga program också.
Vonteera gör en hel del att bo på systemet: det installeras en schemalagd uppgift, en tjänst, ett browser helper object i Internet Explorer, ersätter kända webbläsare genvägar för att ladda välj platser på start, gör en Chrome-politik som gör det möjligt för dem att installera appar och tillägg i webbläsare som inte kan avinstalleras, och lägger till flera certifikat till betrodda certifikat lista.
Manipulation av webbläsare genvägar
Vissa metoder används av adware och skadlig programvara lika. Byte av webbläsaren genväg till exempel att läsa sidor på start. Vi har nämnt denna metod tillbaka 2014 och det verkar populärt som det är lätt att göra och mycket effektiv.
För att kontrollera dina genvägar, högerklicka på genvägen och välj egenskaper. Hitta målet raden på sidan och kontrollera parametrarna i fältet mål. Om du hittar en webbadress där, det kommer att öppnas på start.
Service installation
Tjänster kan laddas vid start av operativsystem, eller när de behövs beroende på konfiguration.
Du kan kontrollera alla befintliga tjänster genom att trycka på Windows-tangenten, skriver tjänster.msc och trycka enter. Du kan få en UAC-prompten som du måste acceptera.
Gränssnittet erbjuder begränsad information. Medan du kan sortera tjänster av namn eller status, det finns ingen möjlighet att sortera dem efter installationsdatum.
Om ett skadeprogram som installerar en service på systemet, du kan hitta mer om det i Windows-Registret.
- Tryck på Windows-tangenten, typ regedit.exe och tryck enter.
- Navigera till HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTjänstnamn
- Kontrollera ImagePath variabel, eftersom det belyser vilken fil som körs när tjänsten är igång.
Schemalagda Aktiviteter
Uppgifter kan köras under vissa villkor, till exempel på system starta eller stänga av, på en viss dag eller tid, eller när datorn är i viloläge.
För att kontrollera Uppgifter om Windows, gör följande:
- Tryck på Windows-tangenten, skriv Taskschd.msc och tryck enter.
- Välj Bibliotek för Schemaläggaren och gå igenom de uppgifter som anges där.
Du kan ta bort uppgifter med en höger-klicka och välj “ta bort” från den sammanhangsberoende menyn. Du kan inaktivera dem eller kolla deras egenskaper (att se när de kör, vad de kör och så vidare).
Internet Explorer Browser Helper Object
Browser Helper object stöds endast av Internet Explorer. Microsofts nya webbläsare Kant inte har stöd för dem.
Dessa fungerar på liknande sätt till tillägg, vilket innebär att de kan ändra och spela in webbplatser och trafiken bland annat.
För att hantera browser helper object i Internet Explorer gör du följande:
- Öppna Internet Explorer på ditt system.
- Tryck på Alt-tangenten och väljer Verktyg > Hantera tillägg från menyraden.
Gå igenom alla listor där, särskilt verktygsfält och tillägg. Du kan inaktivera objekt med ett högerklick och valet “aktivera” från menyn. Klicka på “mer information” visar Klass-ID av Helper Object och ytterligare information om det.
För att ta bort dem, måste du använda Registereditorn istället. Öppna Windows Registry Editor och kör en sökning på Klass-ID med hjälp av Redigera – > Sök-menyn. Ange Klass-ID och ta bort alla nycklar som kommer upp.
Jag föreslår att du skapar en säkerhetskopia innan du kör operativsystemet bara att se till att du kan gå tillbaka om att saker och ting blir fel.
Chrome Politik
Google Chrome webbläsare och Krom stöd för en stor lista av politik som gör det möjligt för företag att konfigurera inställningar på systemet Chrome är att köra på.
Den politiska ExtensionInstallForcelist lägger tillägg till webbläsaren för att alla användare på systemet att dessa användare inte kan ta bort från det.
App eller tillägg får installeras tyst, utan interaktion med användaren, och alla behörigheter begärt att få beviljas automatiskt.
Icke Betrodda Certifikat
Malware lagt certifikat för betrodd antivirus lösningar till listan över betrodda certifikat på Windows.
Detta hindrade programmet startas på systemet, och det hindrade ladda ner program från utvecklarens hemsida (förutsatt att webbläsaren använder Windows certifikatarkiv som Internet Explorer och Chrome göra, men Firefox odes inte).
- Tryck på Windows-tangenten, skriv certmgr.msc och tryck enter.
- Navigera till icke Betrodda Certifikat och kontrollera alla certifikat som anges där.
- En höger-klick kan du ta bort dem från listan över betrodda certifikat.
Nu är Du: Vet av andra knep för malware använder?