作者注:我们Malwarebytes继续尽必威平台APP自己的一份力量,教育我们的产品用户和博客读者了解日常的在线威胁,以及如何避免成为它们的牺牲品。“PUP周五”是我们最新的一次尝试,旨在让用户了解他们在野生网络中可能需要注意的文件,它提供了对一些有趣的、相当值得注意的潜在无用程序(PUPs)的深入了解。预计这种类型的内容每月会在工作周结束时发布两次。

如果你看看我们的政策要将软件检测为潜在无用程序(PUP),你会注意到有一个条目说“跨多个浏览器安装的浏览器插件”。我将假设我们的读者都知道,供应商希望安全研究人员尽可能少地获得关于他们安装的信息。如果这可以与通过表现“好”来避免被归类为PUP相结合,那么当它们发现自己可能被安装在安全研究人员的机器上时,它们就会这样做。

Yontoo,又名BrowseFox,又名Sambreel

我想展示的这只小狗是Yontoo家族的。它们有时被检测为Sambreel或Browsefox,但实际上它们都来自同一来源。安装它们的正常程序是在打包机.实际上,Yontoo安装程序是由捆绑安装程序下载和执行的,但是它们将使用一个技巧,我将在后面讨论这个技巧。

VM-aware

安装程序运行一些测试以确定它是否安装在虚拟机(VM)。例如,它检查驱动器型号和BIOS制造商。这些是难以改变的标识符赠送一台虚拟机.它还检查是否存在提琴手和某些类型的VPN服务.它把任何这类迹象的出现都视为自己行为的触发器。

表现得不错

举止得体在这里是什么意思?我们会看一下荣华搜索安装程序把它作为一个例子。如果您同意更改默认搜索引擎,安装程序将提示您。如果您同意,ie浏览器中的默认搜索引擎将更改为雅虎搜索!

warning1

截图1

无论您的选择,您的Internet Explorer开始页面将更改为雅虎搜索!接下来,Yontoo安装程序将显示一个提示,其中包含到EULA和隐私政策的链接,并向用户提供先阅读它们的选项。

主要

截图2

用户是否应该选择继续安装,然后它就会安装一个浏览器扩展。当可用时,它总是在Firefox中。

warning1

截图3

除此之外,安装程序会将主可执行文件的副本放到Startup文件夹中,并在用户桌面上创建一个搜索图标。然后在程序和功能列表中创建一个卸载条目。这种卸载对于我们在这里讨论的“有限安装”非常有效。

warning4

截图4

技巧

那么安装程序如何知道何时交付完整安装呢?bundle安装程序在触发Yontoo安装程序时传递一些参数。这些可以简单到“/ s”“刹车”或者由几个开关组成,比如" /sh 1 /是密码".不用说,这些论点很难猜测,因此需要某种程度的逆向工程才能找出它们是什么。只有在接收到带有参数的命令并检查它是否不在研究人员的机器上之后,才会进行完整的安装部署。

nice的区别

在这种情况下,差异不是很大,但它证明了我的观点。首先,上图截图2所示的安装界面将被跳过。并且没有提供其他指向EULA或隐私政策的指针。完整的安装还会检查浏览器Chrome和Opera是否存在。如果系统上有这些,它也会为这些浏览器提供浏览器扩展。

chromeextwoperaextw

哦,等一下。让我们来看看。这是“跨多个浏览器安装的浏览器插件”,不是吗?破产。

浏览器插件做什么

到目前为止,您可能想知道这些浏览器扩展是做什么的。简而言之:他们通过在列表结果的顶部添加赞助链接来改变搜索结果。即使你使用另一个搜索引擎比雅虎搜索!如下所示。

searchresultsw

浏览器扩展改变了在Opera中的谷歌搜索结果

检测、保护和移除

荣华搜索被检测为PUP.Optional.Yontoo和用户必威平台APPMalwarebytes反恶意软件溢价如果他们使用该设置将PUP检测视为恶意软件,则可以免受这种威胁。移除指南可在我们的论坛

protection1

总结

我们已经研究了Yontoo浏览器劫机者的安装程序使用的方法,以尽可能多地向安全研究人员隐瞒有关他们程序的信息。也许还能避免被归类为潜在不需要的人。它们包括在捆绑的安装程序和例程中使用命令开关,以检查它们的安装程序是否在安全研究人员的机器上被触发。

链接

Pieter Arntz