Harry James
0 
2952
853
Знакомьтесь, Кайл и Стэн. Нет, я не говорю о дуэте с маленьким ртом из Саус-парка, а о последней сети Malvertising из ада. Это гениально. Это губительно. И это угрожает как пользователям Mac, так и Windows.
Вредоносная реклама - это портмоне «вредоносных программ» и «рекламы». Как это работает, просто. Во-первых, законные каналы интернет-рекламы используются для того, чтобы заставить браузеры загружать вредоносное программное обеспечение. Тревожно, жертвам даже не нужно быть на подозрительном веб-сайте. Эти злонамеренные объявления распространялись даже через такие безобидные сайты, как Amazon.com, Apple.com и ads.yahoo.com..
Кайл и Стэн используют социальную инженерию для того, чтобы наполнить ваш компьютер ненужными и неприятными вредоносными программами. Любопытно, как вы можете дать отпор? Читать дальше.
Как работает Атака
Атака зависит от ряда вещей. Первый - как-то убедить традиционную (и легитимную) рекламную сеть - такую как DoubleClick от Google - запустить рекламу, которая содержит вредоносный код. Хотя эта реклама не обнаруживается рекламной сетью, она затем перенаправляется на другие законные сайты, которые затем выполняются в браузере и перенаправляют пользователей на сайты, обслуживающие вредоносное ПО..
Вредоносная программа также определяет, какая операционная система и браузеры используются, проверяя строку пользовательского агента, которая содержит большое количество информации о конфигурации компьютера. Он содержит все, от разрешения экрана до плагинов, которые работают в браузере.
После того, как вредоносная программа определила операционную систему пользователя, она принимает решение, куда перенаправить браузер. Пользователи Mac отправляются на сайты, которые обслуживают вредоносное ПО, специфичное для OS X и связанное как DMG, тогда как пользователи Windows отправляются на сайты, которые обслуживают вредоносное ПО Windows в виде исполняемых файлов..
Ваш браузер автоматически загрузит вредоносное ПО. Сообщается, что это комплект легитимного программного обеспечения - обычно медиапроигрывателя - в дополнение к нескольким пакетам вредоносных программ и файлу конфигурации, специфичному для пользователя..
Как отмечается в блоге Cisco, в котором изначально указывалось на вредоносное ПО, «Кайл и Стэн» интересны тем, что они также атакуют пользователей Mac. Это пользователи, которым традиционно не приходилось сталкиваться с рисками безопасности, присущими Microsoft Windows, и в результате они могут быть более уязвимы к социальному аспекту атаки..
Вредоносные программы, обслуживаемые Кайлом и Стэном, принципиально отличаются друг от друга тем, как они работают, и тем, как они удаляются для каждой целевой платформы. Любопытно? Читать дальше.
Вредоносное ПО Windows
Вредоносное ПО для Windows - это 32-разрядное приложение для Windows, написанное на C ++. После выполнения он устанавливает несколько вредоносных программ, а также NewPlayer. Это замаскировано под медиаплеер, который является законным аспектом, который маскирует другую, менее чем законную деятельность. А именно, он захватывает Internet Explorer, Google Chrome и Firefox, обслуживает нежелательную рекламу и всплывающие окна, а также захватывает поисковый трафик..
Вредоносное ПО Windows, обслуживаемое Кайлом и Стэном, запутывает свою деятельность чем-то, называемым Dynamic Forking. Это работает, угоняя законные процессы, и заменяет их другими действиями. Это позволяет вредоносным программам обходить функции безопасности Windows и позволяет устанавливать новые вредоносные программы без каких-либо подозрений. Более подробное объяснение того, как это работает, можно найти в блоге Cisco..
Dynamic Forking невероятно сложно смягчить против. Это также показывает крайний уровень сложности этой конкретной вредоносной программы. Но как насчет удаления? Что ж, избавление от NewPlayer - это хорошо документированный, хорошо понятный процесс. Однако, как упоминалось ранее, это устанавливает (и может устанавливать) другие произвольные пакеты. В результате рекомендуется установить обновленную и текущую антивирусную установку. Это полностью задокументировано в нашем Руководстве по удалению вредоносных программ.
Mac Malware
Но как насчет вредоносных программ для Mac? Когда Mac посещает сайт с рекламой Кайла и Стэна, DMG автоматически загружается. Внутри находится копия MPlayerX, законного медиаплеера, который был рассмотрен в прошлом году моим коллегой Дейвом Леклером..
Это связано с двумя менее законными частями вредоносного ПО. Оба являются угонщиками браузера: Conduit и VSearch. Conduit имеет видимость законности - он создается реальной компанией с сотрудниками, офисами и почтовыми адресами - и пользователь имеет возможность отказаться от установки этого конкретного угонщика браузера. Там нет такой опции для VSearch, однако.
Поведение VSearch соответствует большинству угонщиков браузера. Поисковый трафик перенаправляется через их собственные порталы, на которых распространяются их собственные объявления, и периодически запускаются всплывающие рекламные объявления. Это раздражает и навязчиво. И что еще более важно, это угроза вашей конфиденциальности. VSearch также запускается во время выполнения, так как модуль запуска добавляется в launchctl после установки.
Удаление это относительно легко, хотя. Просто бросьте следующие предметы в корзину:
/ Библиотека / Поддержка приложений / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Библиотека / LaunchDaemons / Jack. plist / Библиотека / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Что ты можешь сделать?
Победить Кайла и Стэна легко. Вам просто нужно быть невероятно бдительным. Ваш компьютер автоматически загрузил исполняемый файл, который вы не ожидали? Это выглядит подозрительно? Вы были перенаправлены на страницу загрузки программного обеспечения, с которым вы не знакомы? Это все причины для беспокойства.
Я также рекомендую вам установить в вашей системе современный обновленный антивирус. Это также касается пользователей Mac. Я очень люблю антивирус Sophos OS X.
Тебя поразили Кайл и Стэн? Дайте мне знать об этом. Поле комментариев ниже.
Кредит изображения: Cisco