作者注意:我们在Malwarebytes继必威平台APP续执行我们在教育我们的产品用户和常量博客读者的日常在线威胁以及它们如何避免牺牲猎物。“星期五,”我们最新尝试让用户熟悉他们可能需要在野外网络中注意的文件,并深入了解一些有趣,非常值得注意的潜在不需要的程序(PUP)。期望看到这类内容在工作周结束时每月推出两次。

这篇文章是关于一个小狗已经存在了一段时间,但最近似乎已经获得了很多“人气”。由于它积极阻止受害者访问我们的网站并阻止每个官方下载位置必威平台APPMalwarebytes反恶意软件还有一些其他安全软件,我们已经想到它应该在我们的PUP周五系列中提及。

它是什么?

dotdo fastinternet是来自的广告软件dotap [dot] dotdo [dot]网并从中获取广告toi [dot] miifaa [dot]信息

代理劫持者

要将这些广告纳入受害者,他们会在用户的计算机上设置代理。此代理使用端口8877上的合法提示软件的一部分(代理设置为127.0.0.1:8877,用于HTTP和HTTPS),以添加和拦截Web流量。要确保用户无法轻松更改或绕过代理设置,它使用我们讨论的一些技巧和一些新的:Internet Explorer中的“代理服务器”设置是系统设置的灰色,它们责备它的“系统管理员”。

代理人

Chrome中的设置也灰色,如果您使用的是Firefox,您会发现此行user.js.

lockpref(“network.proxy.type”,5);

“network.proxy.type”的值5告诉Firefox使用系统代理设置。

作为额外的预防措施以正确的方向指向Chrome,它们会改变用户的Chrome的快捷方式链接并添加参数-proxy-server = http = 127.0.0.1:8877如下所示。

捷径

对于良好的衡量标准,在Windows Startup文件夹中删除了此链接的副本。

阻止安全软件

此广告软件在%homedrive%目录中创建名为“a”的文件夹,该文件包含其使用的大多数文件。

foldercontent.

该文件夹中的一些文本(.txt)文件是块列表。如果你看hho.txt., 例如-

域名

- 您将看到相当多的安全软件相关(子)域名列出。在Uur.txt.,您将看到几个第三方位置,您可以在那里下载我们的软件。屏幕截图以下:

URL.

所有这些和域名hho.txt.如果通过代理连接,则不再访问。如果你尝试:这是结果:

blockedurl.

X标志着它试图向您展示一个广告,我阻止了。两个可以玩那个游戏。

修复

必威平台APPMalwarebytes反恶意软件可以完全清除此感染,但您必须能够首先下载。如果您可以使用其他清洁机器访问互联网,您可以随时访问下载MalwareByte必威平台APPs Anti-Malware安装程序例如,通过USB闪存驱动器将其转换为受影响的机器。

如果您需要与受影响的机器一起做到,这就是如何做到的:找到文件C:\ a \ hho.txt(这是我们之前讨论的域块列表的文件。右键单击该文件,然后选择“编辑”。您的默认文本编辑器将打开,通常是记事本。单击“编辑”>“选择全部”并删除文件的内容(按BackSpace按钮应该执行)。然后键入dotap.dotdo.net.替换旧内容。然后单击“文件”>“保存”以保存更改的文件。您现在应该能够访问我们的网站并下载安装程序。

这是一个重要说明:删除hho.txt.文件不会有助于更早更换,而不是您可以向我们的网站冲浪。如果广告软件处于活动状态,则会下载新的副本dotap [dot] dotdo [dot]网

opendirectory.

检测和保护

安装程序被检测为pup.optional.dotdo。可以找到完整的拆卸指南我们的论坛。涉及的域通过MalwareBytes Web Protection模块阻止。必威平台APP

保护2.

预防

我们并不完全确定人们如何感染这个问题。如果有人可以提供有关这一点的额外信息,请随时在评论中发布。一如既往,要小心您下载并允许运行。我们的建议:“拯救自己麻烦并受到保护。”

概括

在我们本周的十字架中,这是一个广告软件,它积极地阻止受害者下载某些安全软件,包括我们自己的Malwarebytes反恶意软件。必威平台APP我们讨论了他们如何做到,以及如何绕过它。

特别感谢撒尿把这一个引起了我的注意。

Pieter Arntz.