Mainos
Selaimeen kohdistuva haittaohjelma ei ole mitään uutta. Mutta haittaohjelmat korvaa jo olemassa olevan selaimen, jolla on tarkoitus seurata online-liikkeitä, kaappaa hakuliikennettä ja täyttää jokainen sivu ei-toivotuilla ilmoituksilla? Kyllä, se on aika mielenkiintoista.
MalwareBytes-tiimi löysi eFast-selaimen muutama päivä sitten, ja se tekee kaiken edellä mainitun, ja enemmän.
EFast One -sovelluksen vetäminen
Ehkä pahin asia eFast-selaimessa on se, että ellet ole erityisen tarkkaavainen, et ehkä edes huomaa sitä olevan siellä, koska itse naamiointi vaatii paljon vaivaa.
Ensinnäkin se näyttää ja tuntuu vilpitön Chrome-selain Helppo opas Google ChromeenTämä Chromen käyttöopas näyttää kaiken, mitä sinun on tiedettävä Google Chrome -selaimesta. Se kattaa Google Chromen käytön perusteet, jotka ovat tärkeitä aloittelijoille. Lue lisää , sellaisena kuin se on rakennettu Chromium-selaimeen. Tämä on pääosin Chromen täysin avoimen lähdekoodin versio, josta eräät omistamat komponentit on poistettu.
Hämmästyttävällä tavalla kehittäjät ovat jopa suunnitelleet logon muistuttavan läheisesti ikonista Chrome “Spiralia”.
Hämmästyttävä. eFast repii jopa Googlen logon. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19. lokakuuta 2015
Mutta käyttäytymisen kannalta se on hyvin samanlainen kuin muut haitalliset mainosohjelmat. Se alkaa poistamalla Chromen virallinen versio. Kun käytät sitä selaimena, eFast seuraa ja lisää mainoksia jokaiselle vierailullesi verkkosivulle. Se kaappaa hakuliikenteen ja yrittää ohjata sinut muille haitallisille sivuille.
Se liittää itsensä myös laajaan tiedostomuotojen omaan tiedostoon, ehkäpä saadakseen käyttäjät käyttämään sitä enemmän. Nämä muodot ovat:
- gif
- htm
- html
- jpeg
- jpg
- png
- shtml
- WebP
- XHT
- xhtml
Se liittää itsensä myös seuraaviin URL-assosiaatioihin:
- ftp
- http
- https
- irc
- mailto
- mms
- uutiset
- NNTP
- tekstiviesti
- smsto
- puh
- uurna
- webcal
EFast-selaimen taustalla olevat motiivit ovat tietysti puhtaasti taloudellisia.
Haittaohjelmien kehittäjät ovat ylivoimaisestitaloudellisten syiden takia Mikä motivoi ihmisiä hakkeroimaan tietokoneita? Vihje: RahaaRikolliset voivat käyttää tekniikkaa ansaita rahaa. Tiedät tämän. Mutta sinä yllättyisit siitä, kuinka nerokas ne voivat olla, palvelimien hakkeroinnista ja jälleenmyynnistä aina niiden muuttamiseen tuottavaksi Bitcoin-kaivostyöksi. Lue lisää , ja tämä ei ole poikkeus. Itse asiassa se ansaitsee valmistajille kohtuullisen määrän rahaa, koska heidän ilmoituksensa näkyvät jokaisessa käymässäsi verkkosivustossa. Laaja laittoman rahan ansaintapotku on se, mikä ajaa haittaohjelmien kehittäjät kohdistamaan selaimeen.
Selaimen vetovoima
Selain on aina maalannut houkuttelevan kohteen haittaohjelmien kehittäjille pelkästään sen takia Miten käytämme sitä, ja kuinka usein me käytämme sitä. Monille heidän laskentakokemus perustuu kokonaan selaimeen.
Ainakin suurin osa meistä käyttää verkkoselaimestamme sosiaalista verkostoitumista, viihdettä ja ostoksia. Tämän lisäksi monet muut käyttävät sitä toimistojen tuottavuuteen. Tuotteet, kuten Google Drive, ovat korvanneet Microsoft Office -sovelluksen perusteellisesti, ja Gmail ovat korvanneet kaikki muut kuin Outlook ja Exchange.
Koska selaimessa on niin arvostettu asema, se tarjoaa houkuttelevan mahdollisuuden haittaohjelmien kehittäjille. Hyvin hyväntekeväisyydessä he voivat vain lisätä ei-toivottuja mainoksia ja kaappaa hakuliikenteen, mutta pahimmillaan he voivat varastaa salasanoja, käyttöoikeustietoja ja pankkitietoja.
Google on heidän mielestään ymmärtänyt omalle selaimelleen aiheuttamat uhat ja tehnyt parhaansa varmistaakseen sen mahdollisimman turvallisen.
Jokainen Chrome-välilehti on tiukasti hiekkalaatikossa, ja Google on tehnyt hienoja ponnisteluja tehdäkseen erittäin vaikeaksi ajaa latauksia. Tämän vuoden toukokuussa Google teki päätöksen kieltää muut kuin verkkokaupan laajennukset. Jos haluat julkaista oman Chrome-laajennuksesi, sen täytyy käydä läpi Google ja heidän tiukka koodianalyysi.
Kuten InfoSecTaylorSwift huomautti niin syvästi, Chrome on nyt niin turvallinen, ainoa tapa hyökätä selaimeen on korvata se.
Tärkeät rekrytit Chrome-tiimille, että Chromen kaappaus on niin vaikeaa, että haittaohjelmien on kirjaimellisesti korvattava se_ hyökätäkseen tehokkaasti.
- SecuriTay (@SwiftOnSecurity) 16. lokakuuta 2015
Kuka sen takana?
Tähän mennessä tiedämme, että eFast-selaimessa on melko kauhistuttavaa käyttäytymistä, ja tiedämme, että se on asennettu salaa ihmisten tietokoneisiin. Mutta kuka todella teki sen?
Hyvä lähtökohta on tarkastella digitaalista sertifikaattiaan. Tämän on allekirjoittanut ”CLARALABSOFTWARE”, ja “clara-labs.com” on lueteltu siihen liittyvänä verkkotunnuksen nimellä.
Heidän nimivalintansa lähes varmasti ei ollut onnettomuutta. Sen lisäksi, että se muistuttaa läheisesti muita teknologiayrityksiä (kuten UK ISP Claranet), se kuulostaa myös siltä, mitä laillinen teknologiayritys kutsuisi itseään.
Kysyin sitten heidän Whois-levynsä. Tämä on julkisesti saatavilla oleva tietue sivuston omistajista ja sisältää heidän yhteystiedot. Kuitenkin on mahdollista poistaa "Whois" käytöstä käyttämällä ulkopuolisen hämmennyspalvelua, kuten WhoisGuard. Ei ole yllättävää, että he ovat tehneet täällä.
Joten päätin käydä Clara Labsin kotisivulla (emme aio linkittää sitä suoraan) nähdäkseni, voinko löytää tunnistettavia tietoja. On syytä huomauttaa, että kun käyt selaimessa Chromen kanssa, Google varoittaa sinua jatkamatta jatkamista ja ilmoittaa olevansa tunnettu haittaohjelmien jakelija.
Vieraillessani sivusto kärsi suuresta rasituksesta liikenteen vuoksi, jonka aiheutti viime päivinä nähty valtava tiedotusvälineiden kiinnostus.
Kun se lopulta latautui, olin hiukan alikuntoinen. Suurin osa sisällöstä oli tylsää verkkokopiota, joka taatusti saa silmäsi lasille. Se puhutteli lähinnä käyttäjäkokemuksen rikastamisesta älykkäiden mainosalustojen kautta, melkein kuin ihmisten pitäisi olla kiitollinen.
Vielä kiinnostavampaa on, että sen mukana tulee yksinkertaisia ohjeita siitä, miten sisäiset ilmoitukset voidaan poistaa käytöstä:
Vaikka olet asemassa, jossa olet asentanut sen, sinun olisi paljon parempi poistaa se kokonaan.
Sivustolla ei ollut paljon yhteystietoja. Mikään ei sanonut, kuka sitä käytti tai mihin lainkäyttövaltaan he perustuvat. Yhteyshenkilön numeroa tai postiosoitetta ei ollut. siellä oli sähköpostiosoite kuitenkin. Olen ottanut yhteyttä ja pyytänyt kommenttia.
Päivitän tämän viestin, jos he vastaavat, mutta en saa toivojani ylös.
Päästä eroon eFast-selaimesta
Luuletko saaneesi tartunnan? No, siellä on yksinkertainen testi. Kirjoita osoiteriville ”chrome: // chrome”. Jos näet jotain, joka sanoo “About eFast”, olet ehdottomasti saanut tartunnan.
Jos sitä ei ole siellä, mutta näet silti outoa käyttäytymistä, ongelmasi saattaa johtua toisesta lähteestä. Lataa haittaohjelmien torjuntaohjelma ja tee joitain tutkimuksia. Meillä on myös yleisiä neuvoja siitä, miten käsitellä kaapattuja selaimia Kaapatun selaimen puhdistaminenMikä turhauttavaa on kuin käynnistää Firefox vain nähdäksesi, että kotisivusi on muutettu ilman lupaa? Ehkä sinulla on jopa uusi kiiltävä työkalurivi. Nuo asiat ovat aina hyödyllisiä, eikö niin? Väärä. Lue lisää , ja erityisesti kuinka Chroman kaappaus voidaan poistaa 3 välttämätöntä vaihetta Chrome-kaappaajien päästä eroon muutamassa minuutissaOletko koskaan avannut valitun selaimen ja olet tervehtinyt omituisen näköisellä aloitussivulla tai ruma työkalurivillä, joka on liimattu sivun yläosaan? Palauta selaimesi kärjen muotoon. Lue lisää .
Jos olet saanut eFast-tartunnan, sinun kannattaa ladata MalwareBytes (jonka me Ensimmäinen katettu vuonna 2009 Pysäytä ja poista vakoiluohjelmat Windowsin Malwarebytes-sovelluksellaSe ei ehkä ole niin ominaisuuksilla täytetty kuin Spybot Search and Destroy, jossa on naurettava määrä työkaluja, mutta se on erittäin kevyt vaihtoehto, jolla on hyvä vakoiluohjelma. Lue lisää ). Tämän kehittäjät löysivät eFastin, ja heidän viruksentorjuntaansa on oikeat määritelmät sen poistamiseksi.
Saitko eFast-tartunnan? Tunnetko ketään, joka oli? Kerro siitä alla olevissa kommenteissa.
Kuvapisteet:Punaisen paholaisen kädet kirjoittanut Alex Malikov Shutterstockin kautta
Matthew Hughes on ohjelmistokehittäjä ja kirjailija Liverpoolista, Englannista. Hän on harvoin löydetty ilman kuppia vahvaa mustaa kahvia kädessään ja ihailee ehdottomasti MacBook Prota ja kameraansa. Voit lukea hänen bloginsa osoitteessa http://www.matthewhughes.co.uk ja seuraa häntä twitterissä osoitteessa @matthewhughes.
