Der er en konstant kat og mus spil mellem malware, sikkerhed, software-virksomheder og pc-brugere, og chancen for en side, der vinder den kamp synes slank i bedste fald.
Malwarebytes viste for nylig på Malwarebytes Pakket ud, hvordan Vonteera, en malware, der tidligere blev klassificeret som adware, fungerer.
Mens det ikke kan være af interesse for mange, hvordan denne særlige malware fungerer, og at de metoder, der bruges til at inficere edb-systemer og forblive på dem, kan meget vel være, som de er brugt af andre malware, så godt.
Vonteera gør meget for at holde på systemet: det installerer en planlagt opgave, en service, et browser helper object i Internet Explorer, erstatter kendt browser genveje til at indlæse vælg steder ved opstart, giver en Chrome-politik, der giver dem mulighed for at installere apps og udvidelser i den browser, der ikke kan afinstalleres, og tilføjer flere certifikater til ikke-betroede certifikater notering.
Manipulation af browser-genveje
Nogle metoder er anvendt af adware og skadelig software ens. Ændring af browseren genvej til for eksempel at indlæse websteder på start. Vi har nævnt denne metode tilbage i 2014, og det synes populær, da den er nem at lave og yderst effektiv.
For at kontrollere dine genveje, skal du højreklikke på genvejen og vælg egenskaber. Find målet linje på siden og find de parametre i mål området. Hvis du finder en url der, vil det blive åbnet på start.
Service installation
Tjenester, som kan indlæses ved start af operativsystemet, eller når de er nødvendige afhængigt af deres konfiguration.
Du kan tjekke alle eksisterende tjenester ved at trykke på Windows-tasten, skrive-tjenester.msc og trykke enter. Du kan få en UAC prompt, hvor du er nødt til at acceptere.
Interface giver kun begrænsede oplysninger. Mens du kan sortere service ved navn eller status, der er ingen mulighed for at sortere dem efter datoen for installation.
Hvis malware installerer en service på systemet, kan du finde ud af mere om det i Windows-Registreringsdatabasen.
- Tryk på Windows-tasten, type regedit.exe og tryk på enter.
- Naviger til: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesServiceName
- Tjek ImagePath variabel, da den belyser, hvilken fil der bliver udført, når tjenesten startes.
Planlagte Opgaver
Opgaver, der kan køre under visse betingelser, for eksempel på systemet starter eller lukker ned, på en bestemt dag eller tidspunkt, eller når computeren er inaktiv.
For at kontrollere Opgaver på Windows, skal du gøre følgende:
- Tryk på Windows-tasten, type Taskschd.msc , og tryk på enter.
- Vælg Opgavestyring Bibliotek og gå gennem de opgaver der.
Du kan slette opgaver med en højre-klikke og vælge “slet” fra kontekstmenuen. Du kan deaktivere dem der, eller tjekke deres egenskaber (at se, når de kører, hvad de løber og så videre).
Internet Explorer Browser Helper Objekt
Browser Helper Objects understøttes kun af Internet Explorer. Microsofts nye browser-Kant ikke støtte dem.
Disse virker på samme måde til udvidelser, hvilket betyder, at de kan ændre og registrere Internet-sites og trafik, blandt andre ting.
Til at styre browser helper objects i Internet Explorer, skal du gøre følgende:
- Åbn Internet Explorer browseren på dit system.
- Tryk på Alt-tasten, og vælg Værktøjer > Administrer tilføjelsesprogrammer på menuen.
Gå gennem alle lister der, især værktøjslinjer og udvidelser. Du kan deaktivere elementer med en højre-klikke og vælge “deaktiver” fra kontekstmenuen. Et klik på “mere information” afslører Klasse-ID Helper Objekt og yderligere oplysninger om det.
For at slette dem, er du nødt til at bruge Registry Editor i stedet. Åbne Windows Registry Editor og køre en søgning efter Klasse-ID ved hjælp af Rediger > Find menuen. Indtast Klasse-ID og slette alle de nøgler, der kommer op.
Jeg foreslår, at du opretter en sikkerhedskopi, før du kører operativsystemet bare for at gøre sikker på, at du kan gå tilbage, hvis tingene udvikler sig forkert.
Chrome Politik
Google ‘ s Chrome browser og Chrom støtte en lang liste af politikker, der gør virksomheder til at konfigurere indstillinger på systemet Chrome er at køre på.
Den politiske ExtensionInstallForcelist tilføjer udvidelser til browseren for alle brugere på systemet, at disse brugere ikke kan fjerne sig fra det.
De programmer eller udvidelser få installeret lydløst, uden bruger interaktion, og alle tilladelser anmodet om at få tildelt automatisk.
Tillid Til Certifikater
Den malware tilføjet certifikater for pålidelige antivirus-løsninger til listen over betroede certifikater på Windows.
Dette forhindrede program fra at være startet på systemet, og det forhindrede download af programmer fra udvikleren hjemmeside (forudsat, at browseren bruger Windows-certifikatlager, som Internet Explorer og Chrome gør, men Firefox odes ikke).
- Tryk på Windows-tasten, type certmgr.msc, og tryk på enter.
- Naviger til ikke-Betroede Certifikater og kontrollere alle cert, der er opført der.
- Et højre-klik giver dig mulighed for at fjerne dem fra listen over betroede certifikater.
Nu DuKender andre tricks af malware bruger?