eFast böngésző, mint malware

CH azonosító

CH-12707

Angol cím

eFast browser hijacks file associations

Felfedezés dátuma

2015.10.18.

Súlyosság

Alacsony

Érintett rendszerek

Chrome
Google

Érintett verziók

Google Chrome

Összefoglaló

Egy normál internet használó figyelmetlenségéből hasznot húzni kívánó kiberbűnözők egyik kedvenc trükkje egészen a közelmúltig az volt, hogy reklámokat megjelenítő böngészős bővítmények telepítésére vették rá az áldozataikat. Ezek különféle felugró ablakokban szállították a hirdetéseket, továbbá a meglátogatott weblapokra beágyazott hirdetéseket is lecserélhették a sajátjaikra. A legszebb az egészben, hogy a kártevők által megjelenített reklámok sokszor további veszélyes programok telepítésére próbálták meg rávenni a netezőket.

Leírás

Ez a módszer erőteljesen visszaszorulóban van, ugyanis a böngészők készítői egyre hatékonyabb védelmeket találnak ki a rosszindulatú alkalmazások ellen. Eljutottunk arra a pontra, hogy konkrétan nehézzé vált egy modern böngészőbe rosszindulatú bővítményeket telepíteni.

Ezt követően a bűnözők saját webböngészőt kínálnak, amibe már alapvetően be vannak építve a kártevők.

Ezek egyike a nyílt forráskódú Chromiumra épülő “eFast” böngésző. A telepítése után az alkalmazás megpróbálja letörölni Google Chrome-ot, megtévesztő ikonokkal és a fájlasszociációk megváltoztatásával teljesen átvenni a szerepét.

Windows regisztrációs bejegyzés:

O4 – HKLM..Run: [efas_en_110010107] “C:ProgramFiles(x86)efas_en_110010107efas_en_110010107.exe”

O4 – HKLM..RunOnce: [upefas_en_110010107.exe] C:Users{username}AppDataLocalefas_en_110010107upefas_en_110010107.exe -runonce

Lehetséges felelhető helyei:

(Default browser: “C:Users{username}AppDataLocaleFastApplicationefast.exe” “%1”)

() C:Users{username}AppDataLocalefas_en_110010107upefas_en_110010107.exe

(The eFast Authors) C:Users{username}AppDataLocaleFastApplicationefast.exe

HKLM-x32…Run: [efas_en_110010107] => “C:Program Files (x86)efas_en_110010107efas_en_110010107.exe”

HKLM-x32…RunOnce: [upefas_en_110010107.exe] => C:Users{username}AppDataLocalefas_en_110010107upefas_en_110010107.exe [3299840 2015-10-13] ()

C:Users{username}DesktopFacebook.lnk
C:Users{username}DesktopWikipedia.lnk
C:Users{username}DesktopYoutube.lnk
C:Users{username}DesktopHotmail.lnk
C:Users{username}DesktopAmazon.lnk
C:WindowsSystem32Tasksefast
C:Users{username}AppDataLocaleFast
C:Users{username}DesktopeFast.lnk
C:Users{username}AppDataRoamingMicrosoftWindowsStart MenuProgramseFast
C:Users{username}AppDataLocalefas_en_110010107
C:Program Files (x86)efas_en_110010107

eFast 000.110010107 (HKLM-x32…efas_en_110010107_is1) (Version:  – eFast) <==== ATTENTION

Task: {08EF74B9-E0FB-4F76-BEEE-4FD1C0B18DF5} – System32Tasksefast => C:Users{username}AppDataLocaleFastApplicationefast.exe [2015-09-16] (The eFast Authors)

FirewallRules: [{5DAE31A8-99AF-447B-9E03-397BD89DC515}] => (Allow) C:Users{username}AppDataLocaleFastApplicationefast.exe

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!

Kövesse a következő oldalon leírtakat:

https://forums.malwarebytes.org/index.php?%2Ftopic%2F174031-removal-instructions-for-efast%2F