来自 应用 2021-04-07 01:13 的文章

国外高防ip_海外_荆州纸牌防护

国外高防ip_海外_荆州纸牌防护

潜在的不需要的程序(pup)继续困扰着消费者的恼人的软件,cc防御用什么盾牌好,干扰了日常的计算机使用。这种软件会膨胀文件系统,用垃圾填满内存,并在web浏览器中放置广告和工具栏。因为这些行为,ddos攻击防御硬件,很多读过我们博客的人都知道我们对这些程序采取了激进的立场。我们的研究人员观察到一只有趣的小狗叫"WinYahoo"。WinYahoo(与公司无关,"Yahoo!")从它在用户的Program files目录中创建的文件中获取其名称,同时Yahoo被设置为已安装浏览器中的默认搜索引擎和主页。像很多不需要的软件一样,WinYahoo也绑定了一个父安装程序(md5:41e092385fb06a3087cd0027375e2288)。我们检查的参考文件是Adobe Photoshop Album Starter Edition的捆绑程序。一旦用户单击"下一步",下一个屏幕将根据是否检测到虚拟机(VM)而有所不同。在这种情况下,只有当bundler进程没有检测到虚拟机时,才会向Yahoo发出报价,这是PUP使用恶意软件中常见的技术的另一个例子,我们不久前讨论过这个问题。当检测到虚拟机时,会向用户提供各种服务,包括诺顿360。没有虚拟机对WinYahoo PUP出价。当Yahoo的报价被接受时,ddos流量攻击防御办法,bundler会将一个新的可执行文件写入一个临时目录,并以这个名称启动它安装程序.exe.此文件是WinYahoo安装程序本身,需要bundler将一个秘密命令行参数传递给安装程序.exe为了正常工作。对于那些不熟悉的人来说,命令行参数只是在程序运行时提供给它的附加数据。如果没有这个参数,安装程序的代码将无法正确执行,最终屏幕上将出现一个消息框,说明参数无效。我们的研究人员注意到,WinYahoo能够修改googlechrome的安全首选项,而不会被浏览器发现。启动WinYahoo可执行文件的bundler进程(WNYStubSetup2.exe)安装程序.exe,传递密钥参数。如果论点是正确的,WinYahoo安装程序继续从Amazon CloudFront下载一个模糊的Dll,这是一个由Amazon Web服务提供的内容交付网络。通过将Dll以模糊的形式存储在那里,amazonweb服务不太可能检测到这个Dll是恶意的,这里似乎就是这样。前段时间也发生了类似的情况,安装了不受欢迎的比特币矿工。来自amazoncloudfront服务器的响应,显示安装程序版本号(3.10.2.0),后跟模糊的Dll。模糊处理的Dll被写入硬盘驱动器,与WinYahoo安装程序二进制文件位于同一文件夹中,但只能以模糊格式写入。文件名的前缀为"sb",后跟一个数字。在我们的测试中,数字似乎是2-3位数。在hex编辑器中查看该文件,它显然有一点模糊,但训练有素的眼睛可以将其识别为windowspe。数字3.10.2.0表示Dll的版本号,在管道(|)字符后面有一个模糊的"MZ"头。Dll只在进程内的堆内存中进行模糊处理。当WinYahoo安装程序运行时,它在WinYahoo安装程序二进制文件和新Dll之间切换执行,以执行PUP和相关文件的安装。在WinYahoo安装程序的堆内存中看到的去模糊Dll。我们的研究人员注意到,WinYahoo能够修改googlechrome的安全首选项,而不会被浏览器发现。就像它的名字一样,Chrome的安全首选项位于一个名为"安全首选项"的文件中。对安全首选项文件的任何外部更改通常会导致设置损坏,如下图所示。在这种情况下,Chrome会将受影响的设置重置为默认状态。如果你修改Chrome的安全首选项,Chrome会将它们标记为损坏。在securepreferences文件中,有一个名为"protection"的部分,其中存储了各种用户首选项以及一个被称为消息认证码(MAC)的哈希值。MAC(在Chrome中生成MAC的代码被认为在这里)被用来保护数据的完整性,因此MAC的任何更改都会引起危险信号。当浏览器与另一个名为"超级MAC"的MAC一起加载时,将检查这些MAC值。WinYahoo通过计算新mac成功地进行了这些更改,从而劫持了用户的偏好。下面是WinMerge屏幕截图,显示WinYahoo更改了主页首选项(请参阅突出显示的区域)。在WinYahoo更改Google Chrome安全首选项之前和之后WinYahoo还安装了一个rogue Chrome扩展,将JavaScript注入网页。在我们的测试中,安装的扩展名为"销售充电器",这是在查看已安装的扩展名列表时确定的。salecharger有一个相当恼人的特性,就是在带有广告的web浏览器中创建新的标签页,有时甚至更糟。在一个案例中,出现了一个技术支持骗局,这是Malwarebytes经常讨论的话题。这个"特性"是使用JavaScript实现的,JavaScript被注入到网页中。脚本的代码从salecharger-a的远程url检索。akamaihd.net网站. 该脚本的代码有一个计时器,等待用户单击屏幕上的某个地方,打开一个新的选项卡,该选项卡重定向到一个恶意url。WinYahoo还更改了首选项,并将Sale Charger安装到Internet Explorer、Mozilla Firefox和Opera浏览器中。下面是Internet Explorer中加载项的屏幕截图。结论WinYahoo使用欺骗性的技术来交付广告软件以及用户不想要的pup。这包括劫持浏览器偏好,以及安装流氓浏览器扩展,可能导致消费者诈骗,ddos防御入门,甚至在计算机系统上安装更多不需要的软件。修改Chrome安全偏好的能力值得注意。这是一个安全问题,千兆带宽ddos防御,希望谷歌在将来的Chrome更新中能够解决这个问题。使用Malwarebytes Anti-Malware可以删除WinYahoo,它被检测为PUP.Optional.WinYahoo.Chrome首选项也会在删除时恢复为默认设置。感谢Malebytes对研究团队的额外贡献。@约瑟坎内尔