遇到凯尔和斯坦。不,我不是在谈论来自南方公园的便盆二人组合,而是来自地狱的最新Malvertising网络。这是天才。这很有害。它威胁着Mac和Windows用户。
恶意广告是“恶意软件"和“广告"的代名词。它的工作方式很简单。首先,使用合法的在线广告渠道来迫使浏览器下载恶意软件。令人不安的是,受害者甚至不必进入可疑的网站。这些恶意广告甚至已经通过诸如Amazon.com,Apple.com和ads.yahoo.com之类的无害网站进行了投放。
Kyle和Stan利用社会工程学的优势来使您的计算机充满不必要的信息和令人不快的恶意软件。对如何反击感到好奇?继续阅读。
攻击如何进行
攻击取决于许多因素。首先是以某种方式说服说服传统(合法)广告网络-例如Google的DoubleClick-运行包含恶意代码的广告。虽然广告网络没有检测到该广告,但该广告随后被级联到其他合法站点,然后在浏览器中执行,然后将用户重定向到提供恶意软件的站点。
恶意软件还确定了什么操作系统和浏览器是通过检查用户代理字符串来使用它,该字符串包含有关计算机配置的大量信息。其中包含从屏幕分辨率到浏览器上运行的插件的所有内容。
一旦恶意软件确定了用户的操作系统,它便会决定将浏览器重定向到何处。 Mac用户将被发送到服务于OS X的恶意软件的站点并捆绑为DMG,而Windows用户将被发送到将Windows恶意软件作为可执行文件的站点。
然后您的浏览器将自动下载恶意软件。据报道,这是一捆合法软件,通常是一个媒体播放器,此外还有几个恶意软件软件包和一个针对用户的配置文件。
作为最初确定该恶意软件的思科博客文章指出,“凯尔和斯坦"的有趣之处在于它也攻击Mac用户。这些用户传统上不必处理Microsoft Windows固有的安全风险,因此可能更容易受到攻击的社会影响。
Kyle和Stan的运作方式以及针对每个目标平台的移除方式都根本不同。好奇?继续阅读。
Windows恶意软件
Windows恶意软件是用C ++编写的32位Windows应用程序。执行后,它会安装一些恶意软件以及NewPlayer。这被伪装成媒体播放器,这是掩盖其他不合法活动的合法方面。也就是说,它劫持了Internet Explorer,Google Chrome和Firefox,并提供了有害的广告和弹出窗口,并劫持了搜索流量。
Kyle和Stan所服务的Windows恶意软件通过称为“动态派生"的方式掩盖了其活动。这可以通过劫持合法进程并将其替换为其他活动来起作用。这样,恶意软件就可以绕过Windows的安全功能,并且可以安装新的恶意软件而不会引起怀疑。可以在Cisco博客文章中找到有关其工作原理的更详细说明。
动态分叉是极难解决的挑战。它还显示了这种特定恶意软件的极端复杂程度。但是删除它呢?好吧,摆脱NewPlayer是一个有据可查,易于理解的过程。但是,如前所述,这将安装(并可以安装)其他任意软件包。因此,建议您安装最新的防病毒软件。这已在我们的“恶意软件删除指南"中得到了充分记录。
Mac恶意软件
但是Mac恶意软件呢?当Mac访问运行Kyle和Stan广告的网站时,会自动下载DMG。里面是MPlayerX的副本,MPlayerX是我的同事Dave LeClair去年审查过的合法媒体播放器。
其中捆绑了两种合法的恶意软件。两者都是浏览器劫持者:管道和VSearch。 Conduit具有合法性,它是由具有雇员,办公室和邮寄地址的实际公司创建的,并且用户可以选择不安装此特定的浏览器劫机者。但是,VSearch没有此类选项。
VSearch的行为与大多数浏览器劫持者一致。搜索流量通过其自己的门户进行重定向,这些门户具有各自的广告,并定期启动弹出广告。这很烦人,而且令人讨厌。更重要的是,这威胁到您的隐私。 VSearch也会在运行时启动,因为在安装后将启动器添加到launchctl中。
删除它相对容易。只需将以下物品丢进垃圾桶即可:
/Library/Application Support/VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist /Library/LaunchDaemons/Jack.plist /Library/PrivilegedHelperTools/Jack /System/Library/Frameworks/VSearch.framework
您能做什么?
对凯尔和斯坦进行排便很容易。您只需要非常警惕。您的计算机是否自动下载了您不期望的可执行文件?看起来腥吗?您是否已重定向到您不熟悉的软件的下载页面?这些都是值得关注的原因。
我也鼓励您在系统上运行最新的,更新的防病毒软件。 Mac用户也是如此。我非常喜欢Sophos OS X防病毒软件。
您是否被Kyle和Stan打中?让我知道。注释框如下。
图片来源:思科
