作者注意:我们在Malwarebytes继必威平台APP续执行我们在教育我们的产品用户和常量博客读者的日常在线威胁以及它们如何避免牺牲猎物。“Pup Friday”,我们最新尝试让用户熟悉他们可能需要在野外网络中注意的文件,并深入了解一些有趣,非常值得注意的潜在不需要的程序(PUP)。期望看到这类内容在工作周结束时每月推出两次。
在这一集中,我们看一下一个劫持者安装新浏览器,而不是劫持现有浏览器。它甚至会尝试替换Chrome如果已安装。为确保您将使用新浏览器,Efft将自己制作默认浏览器,并接管某些文件关联。文件关联是在打开具有特定扩展名的文件时确定哪个程序运行的设置。
劫持
这一项劫持了这些文件关联:
- gif
- HTM.
- 超文本标记语言
- JPEG.
- jpg
- PNG.
- SHTML
- webp
- xht
- xhtml
对于这些URL - 关联是相同的:
- ftp
- http.
- https
- IRC
- mailto
- 彩信
- 消息
- nntp.
- 短信
- smsto
- 电话
- 缸
- webcal
接管url关联意味着这些协议的每一个链接都将被快速打开。如果你想查看自己的文件类型和协议关联的状态,可以在“控制面板”“>”“程序”“>”“默认程序”“>”“设置关联”下进行检查。
查看受影响的电脑,在程序列表中选择“快速”,会显示如下内容:
山寨
它还将一组快捷方式放在桌面上的流行网站,这些网站都设置为与Efft浏览器打开。
Effer的安装程序还删除了任务栏和桌面上的Google Chrome的所有快捷方式,很可能希望将用户与其非常相似的图标混为一组。而不仅仅是图标看起来很像。新安装的浏览器感觉和看起来非常像Chrome,毫无疑问,因为他们使用铬开源项目来构建这个浏览器。在您在菜单中查找“关于EXFAST”条目的设置,直到您在地址栏中键入“Chrome:// Chrome”)。
鉴于Chrome的相似性,很难讲述为什么用户会在真正的Chrome上选择此副本猫。很可能不是广告这个劫持者展示了他们,特别是看到他们没有什么真正有价值的回报。
隐私政策
不仅缺乏安装此浏览器,我们不明确我们必须通过安装此浏览器,如果Eftfer在某个地方提出了EULA或隐私政策,我无法找到它。有一个Claralabs的隐私政策哪个可能申请,但我们无法确定,因为ETFAST没有提到那里,只是“软件”。
更多广告软件
另一点引起一些关于这个安装的担忧是,它在文件夹%Program Files%\efas_en_110010107中删除了一个名为predm.exe的文件。查看该文件的细节,我们看到它的日期比实际安装日期早了一周,“文件描述”是“AA设置”。
事实证明,这是根据这些的另一个eorezo / tuto4pc变体在Virustotal scanresults。
检测和保护
必威平台APPMalwarebytes反恶意软件检测和删除Efft作为pup.optional.efast,pup.optional.clara和pup.optional.tuto4pc。这仅适用于PUP检测是否设置为“将检测视为恶意软件”。您可以根据“设置”>“检测和保护”更改或检查此内容。Efter的去除指南可以在我们的论坛。
资源
Pieter Arntz.
评论