Mød Kyle og Stan. Nej, jeg taler ikke om den potty-mouthed duo fra South Park, men snarere det nyeste Malvertising netværk fra helvede. Det er ingenius. Det er skadeligt. Og det truer både Mac og Windows-brugere.
Malvertising er et portmanteau af 'malware' og 'advertising'. Den måde det virker på er simpelt. For det første bruges legitime onlineannonceringskanaler for at tvinge browsere til at downloade skadelig software. Troublingly behøver ofre ikke engang at være på en mistænkt hjemmeside. Disse ondsindede annoncer er endda blevet serveret gennem sådanne uskyldige websteder som Amazon.com, Apple.com og ads.yahoo.com.
Kyle og Stan drager fordel af social engineering for at pumpe din computer fuld af uønsket og ubehagelig malware. Nysgerrig om, hvordan du kan kæmpe tilbage? Læs videre.
Hvordan angrebet fungerer
Angrebet er betinget af en række ting. Den første er på en eller anden måde overbevisende et traditionelt (og legitimt) reklameretværk - som DoubleClick, af Google - at køre en annonce, der indeholder ondsindet kode. Selvom det ikke er opdaget af annoncenetværket, bliver denne annonce cascaded til andre legitime websteder, som derefter udføres i browseren og derefter omdirigerer brugere til websteder, der serverer ondsindet software.
Malware bestemmer også, hvilket operativsystem og browsere der bruges ved at undersøge brugeragentstrengen, som indeholder et væld af oplysninger om computerens konfiguration. Dette indeholder alt fra skærmopløsningen til de plugins, der kører i browseren.
Når malware har fastslået brugerens operativsystem, træffer det derefter en beslutning om, hvornår du skal omdirigere browseren. Mac-brugere sendes til websteder, der serverer malware, der er specifik for OS X, og er samlet som en DMG, mens Windows-brugere sendes til websteder, der serverer Windows-malware som eksekverbare filer.
Din browser vil derefter automatisk downloade en malware. Dette er rapporteret at være et bundt af legitim software - generelt en mediespiller - ud over flere malware-pakker og en konfigurationsfil, der er specifik for brugeren.
Som Cisco blogpostet, som oprindeligt identificerede malware, bemærkede, er det interessante ved 'Kyle and Stan', at det også angriber Mac-brugere. Det er brugere, der traditionelt ikke har været nødt til at håndtere de sikkerhedsrisici, der er forbundet med Microsoft Windows, og som følge heraf kan være mere sårbare over for det sociale aspekt af angrebet.
Malware, der betjenes af Kyle og Stan, er fundamentalt forskellig i, hvordan de fungerer, og hvordan de fjernes for hver platform, der er målrettet. Nysgerrig? Læs videre.
Windows Malware
Windows malware er en 32-bit Windows-app skrevet i C ++. Ved udførelse installeres det flere stykker malware, såvel som NewPlayer. Dette kommer forklædt som en medieafspiller, som er den legitime facet, der forkæler andre, mindre end legitim aktivitet. Det kører nemlig Internet Explorer, Google Chrome og Firefox og serverer uønskede annoncer og popups og kapsler søgetrafik.
Windows malware, der betjenes af Kyle og Stan, forvirrer sin aktivitet med noget, der hedder Dynamic Forking. Dette virker ved at kapre legitime processer, og erstatter dem med anden aktivitet. Dette gør det muligt for malware at omgå Windows 'sikkerhedsfunktioner og tillader det at installere ny skadelig software uden at opstå mistanker. En mere detaljeret forklaring på, hvordan dette virker, findes på Cisco blogpost.
Dynamisk Forking er utroligt udfordrende at afbøde. Det viser også det ekstreme niveau af sofistikering af denne malware. Men hvad med at fjerne det? Nå, at slippe af med NewPlayer er en veldokumenteret, velforståelig proces. Men som tidligere nævnt installerer dette (og kan installere) andre vilkårlig pakker. Som følge heraf anbefales du at have en opdateret og nuværende antivirusinstallation. Dette er dokumenteret fuldt ud i vores Malware Removal Guide.
Mac Malware
Men hvad med Mac malware? Når en Mac besøger et websted, der kører en Kyle og Stan-annonce, downloades en DMG automatisk. Inside er en kopi af MPlayerX, en legitim medieafspiller, der blev gennemgået sidste år af min kollega Dave LeClair.
Dette kommer sammen med to mindre end legitime stykker malware. Begge er browser hijackers: Conduit og VSearch. Conduit har en legitimitetsfiner - den er skabt af et virkeligt firma med medarbejdere, kontorer og postadresser - og brugeren har mulighed for at fravælge at installere denne særlige browser hijacker. Der er imidlertid ingen sådan mulighed for VSearch.
VSearchs opførsel er i overensstemmelse med de fleste browserkapere. Søgetrafik omdirigeres gennem deres egne portaler, der har deres egne annoncer stænket om, og popupannoncer lanceres periodisk. Det er irriterende og påtrængende. Og vigtigere er det en trussel mod dit privatliv. VSearch starter også på runtime, da en launcher tilføjes til launchctl, når den er installeret.
Fjernelse af det er dog relativt nemt. Bare slip følgende punkter i skraldespanden:
/ Bibliotek / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Bibliotek / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Hvad kan du gøre?
At besejre Kyle og Stan er let. Du skal bare være utrolig opmærksom. Har din computer automatisk hentet en eksekverbar, som du ikke havde forventet? Ser det fisket ud? Har du omdirigeret til download siden af et software, du ikke er bekendt med? Det er alle grunde til at være bekymrede.
Jeg vil også opfordre dig til også at have et moderne opdateret antivirus, der kører på dit system. Dette gælder også for Mac-brugere. Jeg er meget glad for Sophos OS X antivirus.
Har du været ramt af Kyle og Stan? Lad mig vide om det. Kommentarer boksen er nedenfor.
Billedkredit: Cisco