自去年年底以来,我们的研究人员一直在监测网络犯罪分子部署的新方法,以潜在虐待浏览器推送通知。现在,Malwarebytes检测到的广告软件系列必威平台APPadware.adposhel.正在做的只是,控制管理员级别的Chrome中的推送通知。

Adposhel广告软件是什么?

Adware使用Chrome策略来确保将向用户显示通知提示,并将其一些自己的域添加到允许推送浏览器通知的站点列表中。到目前为止没有什么新鲜事。然而,最近的扭曲是Adposhel将这些设置作为管理员执行,这意味着常规Chrome用户将无法更改通知菜单中的设置。

似乎广告软件现在已经决定完全部署这一策略,因为我们看到关于它在论坛上出现的投诉,例如Reddit。

受害者抱怨无法从允许显示推送通知的域列表中删除域,并且无法更改控制网站是否可以要求您允许通知的设置。

管理员控制的默认设置

禁用设置将停止用户查看以下提示:

通知提示

如果用户要单击允许在该提示上,此域将添加到允许的URL列表中,并在通知菜单中可以手动删除它。

Adposhel使用这一点NotifiesAllowedForrls.策略阻止用户从允许列表中删除其条目。

在您通常会看到表示设置菜单的三个点(省略号)菜单图标,Adposhel提交给策略的条目将看到一个图标告诉您管理员强制执行该设置。

设置菜单

如果您将鼠标悬停在图标上,则附带的文本确认。

管理员强制执行

如何撤消Adposhel广告软件所做的更改?

这并不意味着您可以仅仅因为您是您正在处理的系统的管理员而改变该设置。但是,如果您是系统管理员,则可以通过应用简单的注册表修复来修复ADPOSHEL安装程序所做的通知更改:

Windows注册表编辑器版本5.00 [HKEY_LOCAL_MACHINE \软件\策略\ Google \ Chrome]“defaultnotificationsetting”= dword:00000001 [-hkey_local_machine \ software \ policies \ google \ chrome \ notificationsallowedforls]

除非允许通过策略显示通知的URL列表中的合法URL,否则这是安全的,这是安全的。但我们始终建议在进行任何更改之前创建注册表的备份。

备份注册表与erunt

修改注册表可能会创建无法预料的结果,因此我们始终建议在执行此操作之前创建备份

请下载er并将文件保存到桌面。

  • 安装erunt.通过遵循提示,但是对要求您添加到启动时的部分拒绝文件夹。
  • 右键单击图标并选择以管理员身份运行启动工具。
  • 离开默认位置(c:\ windows \ erdnt)作为备份的地方。
  • 确保系统注册表当前用户注册表tick
  • 第三种选择其他公开用户注册表是可选的。
  • 备份然后按是的要创建文件夹。

此工具不会生成报告。完成清洁后,您可以卸载它。

保护和检测

必威平台APPMalwarebytes将安装程序检测为Adware.adposhel。

必威平台APPMalwareBytes块adwware.adposhel.

由此Adpohel诱导的Chrome策略强制执行的URL被检测为Adware.ForcentNotification.chrst。

强迫性检测

IOC.

域名:

aclassigned.info chainthorn.com cityskyscraper.com conrueaul.info dimlitroom.com.cnflton.info efisto.info inclosely.info insuppost.info nineteducer.info oncreasun.info parliery.info qareaste.info stilysee.info suggingin.info

保持安全,每个人!