作者注:我们Malwarebytes继续尽必威平台APP我们的职责,教育我们的产品用户和博客读者,让他们了解日常的网络威胁,以及如何避免成为这些威胁的牺牲品。“PUP Friday”是我们最新的一次尝试,旨在让用户了解他们可能需要在Wild Web中注意的文件,它提供了一些有趣和相当引人注目的深入研究潜在不需要的程序.我们期待着看到这种类型的内容在一个工作周结束时每月发布两次。

有时候,你需要读懂字里行间的意思最终用户许可协议(EULA)但framfox(又名Duquu)已经度过了那个阶段。他们必须依赖这样一个事实,即从来没有人读过他们的书。

EULA

FrameFox的EULA可在www[点]framefox[点]com/ # /条款如果你够得着的话。我必须指出这点,因为必威平台APPMalwarebytes Ant-Malware Premiuim的网络保护块域。最引人注目的是这段话:

威胁

卸载和禁用方法

用户承认并同意,由于某些第三方应用程序不允许framfox的软件正确安装或运行,用户明确同意framfox有权自行决定,但不限于:

阻止、卸载或更改用户计算机上与framfox软件不兼容的第三方应用程序和文件;

这是对任何反恶意软件或其他保护软件的直接威胁,试图从用户的电脑上删除framfox。如果有机会,他们会先除掉你。它继续列出了它允许自己这样做的方式:

  • 禁用第三方应用程序更新;
  • 禁用电脑操作系统的启动程序;
  • 修改本地系统的DNS(域名系统);

然后拒绝为这些行为承担所有责任。这是又另一个广告软件的例子这可能会让受害者的电脑面临更严重的感染。到目前为止,我还没有看到任何他们选择禁用的软件的例子,但我们总是很好奇从你那里听到这些。

阿森纳

安装程序在您的系统上放置了什么,以便他们希望完成这个任务?

  • 两个服务,都被称为“Duuqu Update Service”(在注册表中的dqupdate和dqupdatem下定义),都指向同一个文件“C: Program Files (x86)\Duuqu\Update\DuuquUpdate.exe”。
  • 一个运行键输入文件“C: Program Files (x86)\ framfox \ framfox .exe”。
  • 两个被称为“DuuquUpdateTaskMachineCore”和“DuuquUpdateTaskMachineUA”的计划任务都指向与上面描述的服务相同的文件。
  • Firefox和Chrome的浏览器扩展。

warning5

框架狐商店的Chrome扩展

删除

必威平台APP伪反恶意软件检测并移除“FrameFox Shop”为PUP.Optional.Duuqu和PUP.Optional.FrameFox。完整的拆卸指南可在我们的论坛.的安装程序我使用已被发现与文件名:

  • DuuquUpdateSetup.exe
  • FrameFoxShopSetup.exe

总结

我们看到了迄今为止我们所见过的最令人震惊的EULA之一。FrameFox又名Duuqu抢尽风头,获得“最具攻击性”奖项提名。

一如既往地:为自己省去麻烦,得到保护。

Pieter Arntz