Meet eFast:此恶意软件用广告软件替代了您的浏览器

针对浏览器的恶意软件并不是什么新鲜事物。但是,用替换一个已经存在的浏览器来设计用来跟踪在线运动,劫持搜索流量并在每个页面上填充不需要的广告的恶意软件吗?是的,这很有趣。

eFast浏览器是几天前由MalwareBytes团队发现的,它可以完成上述所有操作,以及更多

也许eFast浏览器最糟糕的事情是,除非您特别观察,否则您甚至可能不会注意到它的存在,因为伪装本身会花费很大的精力。

对于初学者来说,它看起来像是真正的Chrome浏览器,因为它是基于Chromium浏览器构建的。这实际上是Chrome的完全开源版本,其中删除了一些专有组件。

令人惊讶的是,开发人员甚至将徽标设计为与标志性的Chrome“ Spiral"非常相似。

— Matthew Hughes(@matthewhughes),2015年10月19日

但从行为角度来看,它与其他恶意广告软件非常相似。首先,它会卸载Chrome的正式版。当您将其用作浏览器时,eFast会跟踪并将广告插入到您访问的每个网页中。它会劫持您的搜索流量,并尝试将您定向到其他恶意页面。

它还将自己与各种各样的文件格式相关联,也许是为了驱使用户更多地使用它。这些格式为:

  • gif
  • htm
  • html
  • jpeg
  • jpg
  • png
  • shtml
  • webp
  • xht
  • xhtml

    • 它也将自身与以下URL关联相关联:

  • ftp
  • http
  • https
  • irc
  • mailto
  • mms
  • 新闻
  • nntp
  • sms
  • smsto
  • tel
  • urn
  • webcal

    • eFast浏览器背后的动机当然是纯粹出于财务目的。

    恶意软件开发人员绝大多数出于经济原因,这也不例外。实际上,它可以为制造商赚取可观的现金,因为他们的广告会显示在您访问的每个网站上。非法赚钱的巨大潜力是促使恶意软件开发人员瞄准浏览器的原因。

    浏览器的吸引力

    浏览器始终为恶意软件开发人员描绘了一个诱人的目标,由于我们的使用方式和我们的使用频率。对于许多人来说,他们的计算经验完全基于浏览器。

    至少,我们中的绝大多数人都将Web浏览器用于社交网络,娱乐和购物。除此之外,还有更多用于办公效率的产品,例如Google云端硬盘已完全取代了Microsoft Office,Gmail几乎取代了Outlook和Exchange。

    由于浏览器拥有如此受人尊敬的地位,为恶意软件开发人员提供了诱人的机会。在最有利的情况下,他们可以简单地插入不需要的广告并劫持搜索流量,但在最坏的情况下,他们可以窃取密码,凭据和银行信息。

    Google功不可没,已经意识到了威胁

    每个Chrome浏览器标签都紧紧地放在沙盒中,并且Google付出了极大的努力,以使其极难进行按次下载地点。 Google在今年5月决定禁止非Web Store扩展。如果您想发布自己的Chrome扩展程序,则必须通过Google进行严格的代码分析。

    正如InfoSecTaylorSwift明确指出的那样,Chrome如今非常安全,是攻击浏览器的唯一方法

    — SecuriTay(@SwiftOnSecurity),2015年10月16日

    谁在其中?

    现在,我们知道eFast浏览器具有一些非常可怕的行为,并且我们知道它是秘密安装在人们的计算机上的。但是谁真正做到了?

    一个好的出发点是查看其数字证书。该域名已由“ CLARALABSOFTWARE"签名,并以“ clara-labs.com"作为关联域名。

    他们选择名称几乎肯定不是偶然的。它不仅与其他科技公司(例如英国ISP Claranet)非常相似,而且听起来像一家合法的科技公司自称。

    然后我查询了他们的Whois记录。这是谁拥有网站的公开记录,并包含他们的联系信息。但是,可以使用WhoisGuard等第三方混淆服务来“选择退出" Whois。毫不奇怪,这就是他们在这里所做的。

    所以,我决定访问Clara Labs主页(我们不会直接链接到它),看看是否可以找到任何可识别的信息信息。值得指出的是,当您使用Chrome浏览器访问Google时,Google警告您不要继续使用它,并声明它是已知的恶意软件分发者。

    当我访问该网站时,该网站压力很大,这要归功于过去几天来媒体的巨大关注。

    当它最终加载时,我有点不知所措。大部分内容都是那种繁琐的网络副本,可以确保让您的目光蒙上眼睛。它主要是关于通过其“智能广告平台"来“丰富用户体验",似乎人们应该对此表示感谢。

    更有趣的是,它带有简单的说明有关如何禁用内置广告的信息:

    尽管,如果您已安装了该广告,则最好完全卸载它。

    该网站上的联系信息很少。没有任何消息说是谁在运行,或他们在哪个司法管辖区。没有联系电话或邮政地址。但是,有一个电子邮件地址。我已经联系上并要求发表评论。

    如果他们回复,我会更新此帖子,但我没有抱希望。

    摆脱困境eFast浏览器

    您认为您已被感染吗?嗯,有一个简单的测试。在地址栏中输入“ chrome:// chrome"。如果您看到“关于eFast"的字样,则说明您肯定已被感染。

    如果该内容不存在,但您仍然看到奇怪的行为,则说明问题可能出自其他来源。下载反恶意软件程序,然后进行一些调查。对于如何处理被劫持的浏览器,我们也有一些一般性建议。

    如果您感染了eFast,则明智的做法是下载MalwareBytes(我们在2009年首次介绍)。开发人员是发现eFast的人,他们的防病毒软件定义正确,可以将其删除。

    您是否被eFast感染?认识谁?在下面的评论中告诉我。

    标签: