Mark Lucas
0 
2995
682
Mød Kyle og Stan. Nej, jeg taler ikke om den potte-mundede duo fra South Park, men snarere det nyeste Malvertising-netværk fra helvede. Det er ingenius. Det er skadeligt. Og det truer både Mac- og Windows-brugere.
Malvertising er et portmanteau af 'malware' og 'reklame'. Den måde, det fungerer på, er enkel. For det første bruges legitime onlineannonceringskanaler for at tvinge browsere til at downloade ondsindet software. Utroligt behøver ofrene ikke engang at være på et mistænkt websted. Disse ondsindede annoncer er endda blevet serveret gennem så uskyldige websteder som Amazon.com, Apple.com og ads.yahoo.com.
Kyle og Stan drager fordel af social engineering for at pumpe din computer fuld af uønsket og ubehagelig malware. Er du nysgerrig efter, hvordan du kan slå tilbage? Læs videre.
Sådan fungerer angrebet
Angrebet er betinget af en række ting. Den første er på en eller anden måde overbevisende et traditionelt (og legitimt) annoncenetværk - såsom DoubleClick fra Google - til at køre en annonce, der indeholder ondsindet kode. Selvom annoncenetværket ikke opdages, annonceres denne annonce derefter til andre legitime websteder, der derefter køres i browseren og derefter omdirigerer brugere til websteder, der serverer ondsindet software.
Malware bestemmer også, hvilket operativsystem og browsere der bruges ved at undersøge bruger-agentstrengen, som indeholder et væld af oplysninger om konfigurationen af computeren. Dette indeholder alt fra skærmopløsningen til de plugins, der kører i browseren.
Når malware har bestemt operativsystemet for brugeren, træffer den en beslutning, hvor browseren skal omdirigeres. Mac-brugere sendes til websteder, der tjener malware, der er specifikt for OS X og er bundtet som en DMG, mens Windows-brugere sendes til websteder, der tjener Windows malware som eksekverbare filer.
Din browser vil derefter automatisk downloade en malware. Det rapporteres at være et bundt legitim software - generelt en medieafspiller - ud over flere malware-pakker og en konfigurationsfil, der er specifik for brugeren.
Som Cisco-blogindlægget, der oprindeligt identificerede malware-bemærkningen, er det interessante ved 'Kyle og Stan', at det også angriber Mac-brugere. Dette er brugere, der traditionelt ikke har været nødt til at håndtere de sikkerhedsrisici, der er iboende i Microsoft Windows, og som et resultat heraf kan være mere sårbare over for det sociale aspekt af angrebet.
Den malware, der serveres af Kyle og Stan, er grundlæggende forskellige i, hvordan de fungerer, og hvordan de fjernes for hver målrettet platform. Nysgerrig? Læs videre.
Windows Malware
Windows-malware er en 32-bit Windows-app skrevet i C ++. Efter udførelse installerer det flere stykker malware samt NewPlayer. Dette kommer til at være forklædt som en medieafspiller, som er den legitime facet, der skjuler anden, mindre end legitim aktivitet. Navnlig kaprer den Internet Explorer, Google Chrome og Firefox og serverer uønskede reklamer og popups og kaprer søgetrafik.
Windows-malware, der serveres af Kyle og Stan, tilslører sin aktivitet med noget kaldet Dynamic Forking. Dette fungerer ved at kapre legitime processer og erstatte dem med anden aktivitet. Dette gør det muligt for malware at omgå Windows 'sikkerhedsfunktioner og tillader det at installere ny ondsindet software uden at skabe mistanke. En mere detaljeret forklaring af, hvordan dette fungerer, kan findes i Cisco-blogindlægget.
Dynamisk Forking er utroligt udfordrende at imødegå. Det viser også den ekstreme sofistikering af denne bestemte malware. Men hvad med at fjerne det? Nå, at slippe af med NewPlayer er en veldokumenteret, vel forstået proces. Som tidligere nævnt installerer (og kan det installeres) andre vilkårlige pakker. Som et resultat rådes du til at have en opdateret og nuværende antivirusinstallation. Dette dokumenteres fuldt ud i vores guide til fjernelse af malware.
Mac Malware
Men hvad med Mac-malware? Når en Mac besøger et sted, der kører en Kyle og Stan-annonce, downloades en DMG automatisk. Inde er en kopi af MPlayerX, en legitim medieafspiller, der blev gennemgået sidste år af min kollega, Dave LeClair.
Dette leveres sammen med to mindre end legitime stykker malware. Begge er browserkaprere: Conduit og VSearch. Conduit har en finer af legitimitet - den er oprettet af en faktisk virksomhed med ansatte, kontorer og postadresser - og brugeren har mulighed for at fravælge installationen af denne særlige browser hijacker. Der er dog ingen sådan mulighed for VSearch.
Opførelsen af VSearch er i overensstemmelse med de fleste browserkaptere. Søgetrafik omdirigeres via deres egne portaler, hvor deres egne annoncer er sprøjtet rundt, og popup-annoncer lanceres med jævne mellemrum. Det er irriterende og påtrængende. Og endnu vigtigere er, at det er en trussel mod dit privatliv. VSearch starter også ved kørsel, da en launcher føjes til launchctl, når den først er installeret.
Det er dog relativt let at fjerne det. Bare slip følgende punkter i papirkurven:
/ Bibliotek / applikationssupport / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Hvad kan du gøre?
Det er let at besejre Kyle og Stan. Du skal bare være utroligt årvågen. Har din computer automatisk downloadet en eksekverbar, som du ikke forventede? Ser det fiskigt ud? Er du omdirigeret til downloadsiden for et stykke software, som du ikke kender? Dette er alle grunde til at være bekymrede.
Jeg vil også opfordre dig til også at have en moderne, opdateret antivirus, der kører på dit system. Dette gælder også for Mac-brugere. Jeg er meget glad for Sophos OS X antivirus.
Er du blevet ramt af Kyle og Stan? Fortæl mig det. Kommentarfeltet er nedenfor.
Billedkredit: Cisco