Összefoglaló
Egy normál internet használó figyelmetlenségéből hasznot húzni kívánó kiberbűnözők egyik kedvenc trükkje egészen a közelmúltig az volt, hogy reklámokat megjelenítő böngészős bővítmények telepítésére vették rá az áldozataikat. Ezek különféle felugró ablakokban szállították a hirdetéseket, továbbá a meglátogatott weblapokra beágyazott hirdetéseket is lecserélhették a sajátjaikra. A legszebb az egészben, hogy a kártevők által megjelenített reklámok sokszor további veszélyes programok telepítésére próbálták meg rávenni a netezőket.
Leírás
Ez a módszer erőteljesen visszaszorulóban van, ugyanis a böngészők készítői egyre hatékonyabb védelmeket találnak ki a rosszindulatú alkalmazások ellen. Eljutottunk arra a pontra, hogy konkrétan nehézzé vált egy modern böngészőbe rosszindulatú bővítményeket telepíteni.
Ezt követően a bűnözők saját webböngészőt kínálnak, amibe már alapvetően be vannak építve a kártevők.
Ezek egyike a nyílt forráskódú Chromiumra épülő “eFast” böngésző. A telepítése után az alkalmazás megpróbálja letörölni Google Chrome-ot, megtévesztő ikonokkal és a fájlasszociációk megváltoztatásával teljesen átvenni a szerepét.
Windows regisztrációs bejegyzés:
O4 – HKLM..Run: [efas_en_110010107] “C:ProgramFiles(x86)efas_en_110010107efas_en_110010107.exe”
O4 – HKLM..RunOnce: [upefas_en_110010107.exe] C:Users{username}AppDataLocalefas_en_110010107upefas_en_110010107.exe -runonce
Lehetséges felelhető helyei:
(Default browser: “C:Users{username}AppDataLocaleFastApplicationefast.exe” “%1”)
() C:Users{username}AppDataLocalefas_en_110010107upefas_en_110010107.exe
(The eFast Authors) C:Users{username}AppDataLocaleFastApplicationefast.exe
HKLM-x32…Run: [efas_en_110010107] => “C:Program Files (x86)efas_en_110010107efas_en_110010107.exe”
HKLM-x32…RunOnce: [upefas_en_110010107.exe] => C:Users{username}AppDataLocalefas_en_110010107upefas_en_110010107.exe [3299840 2015-10-13] ()
C:Users{username}DesktopFacebook.lnk
C:Users{username}DesktopWikipedia.lnk
C:Users{username}DesktopYoutube.lnk
C:Users{username}DesktopHotmail.lnk
C:Users{username}DesktopAmazon.lnk
C:WindowsSystem32Tasksefast
C:Users{username}AppDataLocaleFast
C:Users{username}DesktopeFast.lnk
C:Users{username}AppDataRoamingMicrosoftWindowsStart MenuProgramseFast
C:Users{username}AppDataLocalefas_en_110010107
C:Program Files (x86)efas_en_110010107
eFast 000.110010107 (HKLM-x32…efas_en_110010107_is1) (Version: – eFast) <==== ATTENTION
Task: {08EF74B9-E0FB-4F76-BEEE-4FD1C0B18DF5} – System32Tasksefast => C:Users{username}AppDataLocaleFastApplicationefast.exe [2015-09-16] (The eFast Authors)
FirewallRules: [{5DAE31A8-99AF-447B-9E03-397BD89DC515}] => (Allow) C:Users{username}AppDataLocaleFastApplicationefast.exe
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
Kövesse a következő oldalon leírtakat:
https://forums.malwarebytes.org/index.php?%2Ftopic%2F174031-removal-instructions-for-efast%2F
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.malwarebytes.org
Egyéb referencia: malwarefixes.com
Egyéb referencia: www.eteknix.com