最近,我们发现一个名为extenbro的新DNS更换器,配备了广告软件捆绑程序。这些DNS更改器阻止访问与安全相关的网站,因此广告软件受害者无法下载并安装安全软件以摆脱害虫。

从我们的观点来看,这可能就像派一头大象去救蚊子,但这次袭击背后的威胁行动者在过去已经使用了侵略性的策略。如果他们通过禁止你访问安全站点和阻止任何现有的安全软件获得更新而使你的机器受到各种威胁,他们会关心什么呢?他们只是想为你提供广告软件。

不幸的是,我们已经看到了这种行为.但是,由于这一人们使用了一些花哨的技巧,我们会快速概述它的表现以及如何摆脱它。对于那些只是寻找快速修复的人,有一个在我们的论坛上删除指南

感染向量

我们注意到了extenbro木马在系统上交付了打包机被Malwarebytes检测为必威平台APP木马。IStartSurf

DNS-changer

首先,Trojan更改受感染系统的DNS设置,因此无法达到任何安全供应商的网站。

先进的DNS

这是新的,您必须访问“高级DNS”选项卡,以了解它已添加四个DNS服务器而不是通常的两个。人们可能倾向于改变可见的两个,使用先进的按钮并查看DNS选项卡:它会导致它们留下额外的两个。

任务调度器

如果您要纠正违规DNS服务器并在进行进一步措施之前重新启动系统,您会发现在重新启动后重新出现DNS设置。这是因为看起来类似于这个的随机命名的计划任务:

预定的任务

文件夹的位置和命令的交换机似乎是固定的,但文件夹名称和文件名是随机的。

根证书

特洛伊木马还将证书添加到该组Windows根证书

新证书

使用博文中提到的方法学习PowerShell:一些基本命令,我建立了证书没有“友好名称”,据说已经注册到Abose [AT] Reddit [Dot] Com。

禁用IPv6.

通过更改密钥HKEY_LOCAL_MACHINE \ SYSTEM \ CURRYCONTROLSET \ SERVICES \ TCPIP6 \参数下的注册表值DisabledConents并将值设置为“FF”,Tyrjan禁用IPv6.强制系统使用新的DNS服务器。

User.js

恶意软件还在Firefox User.js文件中进行更改,并将security.enterprise_roots.enabled设置设置为true配置Firefox以使用Windows证书存储添加了新添加的根证书。

Enterprise_roots.

删除说明

如果这些恶意软件是用户的首选设置,那么它们所做的一些更改可能已经到位。所以你可以随意跳过那些你不喜欢的步骤。

为了下载删除工具或更新现有的安全软件,真正需要做的是将DNS服务器恢复到原来的状态——或者,如果您不知道以前的设置,恢复到安全的状态。大多数isp在安装说明或网站上列出了首选DNS服务器。那是第一个要找的地方。如果你在那里找不到它们,你可以使用OpenDNS提供的DNS服务器。你可以在上面找到许多操作系统的说明他们的网站

在此屏幕中需要额外的步骤:

一般DNS设置

一定要点击先进的…并选择这一点DNS.选项卡找到我们前面提到的额外两个DNS服务器。在将屏幕上显示的两个更改为首选的之前,请删除这些。

现在,您应该能够再次访问安全网站。按照以下剩余指示:

  • 要访问安全站点,您可能需要重新启动浏览器。不要重新启动您的系统,否则DNS服务器可能会再次被更改为更糟的预定的任务是属于特洛伊人的如果您现有的解决方案没有发现恶意软件,请下载必威平台APP到你的桌面。
  • 双击MB3-Setup-Consumer- {Version} .exe然后按照提示安装程序。
  • 然后点击结束
  • 程序完全更新后,选择现在扫描在这一点指示板.或选择威胁扫描来自扫描菜单。
  • 如果定义的另一个更新是可用的,它将在扫描过程的其余部分之前实现。
  • 扫描完成后,请确保所有的威胁,单击删除所选
  • 当提示重启计算机时,重新启动计算机。
  • 此过程应处理计划的任务和根证书。
  • 如果想撤消使FireFox坚持Windows证书的更改,可以打开FireFox并输入关于:config.在地址栏。然后阅读并接受“风险”并进行搜索security.enterprise_roots.enabled..默认设置是假的。您可以通过选择该行并右击以获得一个菜单来更改设置。点击切换在介于之间来回更改值真的错误的.关闭关于:config.你完成后的标签。

如果你需要进一步的帮助,请随时联系我们论坛或与我们的支持部门。

国际石油公司

DNS服务器:

45.86.180.227

185.162.93.213

116.203.6.218

185.130.104.222

安装程序:

SHA256 b2a28e9abb04a5926d53850623b1f3c6738169b27847e90c55119f2836c17006

根证书:

36509 b8f624ce280e0c797f42f4a8f552a280313

保持安全,大家好!