在这一系列文章中,我们将使用下面的流程图来遵循确定广告软件我们正在处理。我们的目标是让你知道Windows系统有多少不同类型的广告软件。虽然大多数被归类为幼崽,偶尔你也会看到木马或rootkit,特别是对于更难检测和删除的类型。
在本系列的这一部分中,我们将看看很难找到和删除的广告软件类型。幸运的是,这种情况很少见,但也有一些广告软件作者不害怕用象枪打苍蝇。这些很难找到,有时很难删除的恶意软件类型,因为这就是它们,即使它们的目的是“仅仅”向你展示广告,它们使用的方法使它们成为恶意软件,而不是潜在的不受欢迎的。
广告
ADS是Alternate Data Streams的缩写。这是Windows NTFS系统的一个特性,可以使用文件的$ data属性将任何类型的数据追加到文件中。对于广告软件作者来说,方便的部分是普通用户不会看到附加到任何文件的ADS,除非他使用一些特殊的工具或足够熟悉Powershell打猎他们倒下了。又一次机会给了(ab)ADS的用户有多种存储选项。您可以附加一个完整的可执行文件,或者只添加一个脚本,通过将其作为参数提供给适当的程序来执行。如果从技术上讲ADS不是文件,则使用ADS结合注册表项进行持久化,这种方法将符合无文件感染的条件。但在至少它们很难找到,而且可以用非常相似的方式使用。
黑客程序
在很难找到备用数据流的地方,rootkit甚至对于操作系统(在我们的例子中是Windows)都是不可见的。根据定义,Rootkit是一种隐藏自身或其他应用程序的软件。但是,这个名称是由rootkit具有系统的管理员级访问权限(Unix:root)这一事实派生出来的。虽然有很多工具可以检测和删除rootkit,但专家们的共识是,感染了rootkit的系统永远不应该被完全信任,最好重新格式化系统驱动器并重新安装操作系统。这很苛刻,有些rootkit可以完全删除,但在许多情况下这是一个合理的建议。您可以在我们的威胁描述中找到有关rootkit类型的更多信息”黑客程序”.
非文件化感染
无文件感染不同的形式和大小,但我们在广告软件中看到的大多数是隐藏在注册表中的Powershell命令编码。著名的例子是鲍利克斯和Kovter. 我们在使用中看到的另一个无文件感染是WMI劫持者,它使用Windows Management Instrumentation将一个站点作为参数添加到它能找到的每个浏览器快捷方式中。有效地确保受影响的用户总是被劫持到他们的搜索网站。
必威平台APP伪Anti-Rootkit(β)
如果你遇到任何这些难以找到和删除的广告软件感染和Malwarebytes无法补救他们,请下载我们非常特殊的工具,为这些情况必威平台APP必威平台APP伪Anti-Rootkitβ或者看看恶意软件移除自助指南我们的论坛部分,看看我们是否发布了一个特殊的删除指南为您的问题。Malwarebytes Anti-Rootkit BETA通常能够在其他工具无法安装的情况下安装ad run,这必威平台APP将为Malwarebytes腾出空间帮助您清除其余感染。
指数
- 识别过程
- 清除浏览器缓存
- 删除浏览器扩展
- 代理
- Winsock劫持者
- DNS劫持者
- 类型的软件
- 卸载
- 删除文件
- 替换文件
- 计划任务
- 服务
- DLL的
- 处理
- 父进程
第六部分
- 广告
- 黑客程序
- Fileless感染
下一篇,第七部分
- 用于研究的工具
Pieter Arntz
评论