来自 安全 2022-05-12 14:30 的文章

云盾_香港高防的服务器_免费试用

云盾_香港高防的服务器_免费试用

Windows和OS X中广告软件的比较:Linkular和Genieo

根据定义,广告软件是一个程序包,它提供广告以为作者创造收入。在更严格的意义上,例如对于安全解决方案,它意味着一个应用程序/安装程序,其性质介于潜在的不需要的应用程序和适当的恶意软件(如特洛伊木马或间谍软件)之间。它可能会使用或多或少的攻击性方法,以诡计开始,以欺诈结束,以实现使分销商受益的目标,同时在第一眼看到时尽可能保持清白。一年前,我们在博客上发布了一个广告软件下载程序。

现在我们重点关注两个精选的广告软件示例:第一个是名为Linkular的Windows安装程序,第二个是名为Genieo的著名应用程序(重点关注其OS X版本)。在野外生活了几个月,在这两种情况下,AV产品中的检测仅达到部分覆盖率,在VirusTotal上的数字非常相似(约10-20%,见以下来源)。但是,OSX广告软件Genieo还带有OSX特定安全解决方案的标记。考虑到恶意性,Windows广告软件比OS X one更具危险性和侵入性,也比我们通常看到的其他Windows广告软件更具攻击性。比较如下:

(*)masking与官方网站无关,但其一些分销合作伙伴

(**)与较老的安装商有关;不再呈现

收集网络流量分析的alexa.com网站排名,ddos服务器怎么防御,勾勒出商业网络流量数据的重要性。排名越高,该页面对互联网冲浪者和域名所有者来说越受欢迎,从而使其潜力商业化。分发策略是指用于吸引用户到下载站点获取软件的方法。Linkular主要通过一个名为Adcash的网络声誉不佳的广告网络进行广告。它通常通过打开一个或多个弹出窗口来显示广告,例如在进入torrent网站时。alexa.com的数据表明:

初始安装程序可能由签名者Linkular LLC进行数字签名。第一个对话框有两个安装选项。我们可以看到这个安装程序提供的负载名称:Mobogenie是一个定制Android市场门户的框架;GPUtemp是下载比特币矿商的代理;BasicServe是一组浏览器辅助对象和扩展。名为SpeedUpMyPC和Browsebeyond的应用程序将在下一个对话框中提供,单台服务器ddos防御,但它们的安装可以通过降低使用条件来跳过。

在左侧的红色方框中,我们可以看到,如果用户在几秒钟内不采取任何行动就离开对话框,用户是如何被迫做出决定的。这不是一个非常合乎道德的方法,加上交付的内容,这个安装程序肯定不仅仅是"潜在的"不需要的。它避免被标记为特洛伊木马的唯一原因是可以选择退出所有组件。在第一个对话框后退出安装程序。

GPUtemp(比特币矿工)

标题说明GPUtemp将帮助收集数据。这是真的,但不幸的是,他们没有提到数据的性质以及它将如何影响用户的系统。选择此选项将启动一系列我们通常从特洛伊木马中看到的事件。

从shoppingsuggestion.com下载一系列包含Themida的可执行文件,每个文件都由White Sea Media签名。第一个名称通常包含一个子字符串"setup",它将要求NVIDIA Corporation提供一个开放的计算语言库(用于CUDA计算)和一个包含"detection"字符串的二进制文件。后一个名称的目的是根据系统选项选择一个比特币挖掘包并进行检查存在一些AV过程。我们观察到以下字符串:

调试信息表明了其用途("Miner Bundle11(connectsea.com)"、"detection2.pdb"),并且开发是最近的(2013年12月09日Dalink工作)。链中的其他二进制文件称为"看门狗",用作更新和Miner bundle本身。它安装在目录%ProgramFiles/VLC Player GPU+中。持久性是通过在注册表软件/Microsoft/Windows/CurrentVersion/Run目录中创建条目来实现的:一个用于看门狗,另一个用于名为GPUlog.exe的适当矿工。字符串的另一个快照(请注意,ESET关于Carberp的文章中出现了"gsoftv4"的变体):

使用Ufasoft改进的硬币挖掘机(同样受Themida保护)作为计算软件:

估计潜在僵尸网络的大小,首先,我们意识到alexa.com上CoolesMovie.info的流行:

并且检测到Linkular安装程序和比特币矿工本身:

我们看到alexa.com和Win32:Linkular-D[Adw]提供的下载链开始的数据彼此对应(法国、意大利、巴西)。另一方面,在链条末端的主要国家(俄罗斯、波兰、土耳其和巴西)的点击率各不相同。因此,比特币矿商也通过其他渠道进行分销。

基本服务

还是我们应该称之为基本扫描?该链接指向我们一年前的博客,我们在博客中描述了一个名为Xvid的广告软件安装程序,它正在下载一个具有上述名称的浏览器扩展。这两种浏览器工具都有奇怪的导出名称,如"iludokiwef"、"kolezu"、"oximayazu"和持久化方法(通过启动时自动加载服务实现)。我们认为它们是紧密相连的。这个应用程序将通过一个所谓的个人网页来传递Web内容,这取决于用户的行为。在Genieo官方网站上,额外承诺