作者注:我们Malwarebytes继续尽必威平台APP我们的职责,教育我们的产品用户和博客读者,让他们了解日常的网络威胁,以及如何避免成为这些威胁的牺牲品。“PUP Friday”是我们最新的一次尝试,旨在让用户了解他们可能需要在Wild Web中注意的文件,它深入介绍了一些有趣且相当引人注目的潜在不受欢迎的程序(PUP)。我们期待着看到这种类型的内容在一个工作周结束时每月发布两次。

在我们写了关于eFast浏览器几周前,我们发现另一个基于铬的浏览器,将自己安装为默认浏览器并提供广告。

CrossBrowse是Crossrider家族浏览器劫机者和广告软件,我们已经看到了当它劫持现有的浏览器时。它仍然这样做,但现在它也从桌面、开始菜单和任务栏中删除了默认浏览器的快捷方式,同时在这些相同的地方添加了自己的快捷方式。

图标

Crossbrowse抓住文件关联:

  • htm
  • HTML.
  • shtml
  • 媒介
  • XHT.
  • xhtml

和url关联(协议):

  • FTP.
  • http
  • https
  • irc
  • mail.
  • mms
  • 新闻
  • nntp
  • 短信
  • smsto
  • 电话
  • webcal

警告1.

Firefox扩展名为MyBrowser

为了确保新“安装”的浏览器获得“运行时”,它还创建了两个启动项。一种是在Startup文件夹中放置一个链接,另一种是为当前用户创建一个Registry Run-key。

O4  -  HKCU \ .. \ RUN:[GooglechromeAutolaunch_cf2b7c6f9d79411f351bc515b29e4ace]“c:\ program文件(x86)\ crossbrowse \ crossbrowse \ application \ crossbrowse.exe”--no-startup-window o4  -  startup:crossbrowse.lnk = c:\程序文件(x86)\ crossbrowse \ crossbrowse \ application \ crossbrowse.exe

请注意run-key的名称中的“googlechromeautolaunch”,可能旨在误导用户。并使用“-no-startup-window”切换,根据他们的方式网站

不会在启动时自动打开浏览器窗口(用于启动Chrome (Chromium)用于托管后台应用程序)。

它打开的第一个站点是加上网络[DOT] COM,它对于该域的活动劫持是臭名昭着的。

site1

作为奖励,会有三个计划任务,一个典型的CrossBrowse,两个类似于我们在大多数Crossrider安装中看到的。

警告3.

如果你想使用“控制面板\程序\程序和功能”中的卸载程序删除它,请注意,此安装创建了两个条目。

警告4.

这类浏览器劫机者通常来自于包安装程序.安装和CrossBrowse浏览器试图建立的一些连接被阻止必威平台APP伪反恶意软件的溢价.安装程序被检测为pup .可选。

protection1protection2

一如既往地:“为自己省去麻烦,得到保护。

资源

Pieter Arntz