Bővítmény trójai rosszindulatú program: növekvő fenyegetés a Google Chrome és a Microsoft Edge felhasználók számára

trojan horse

A rosszindulatú programok új hullámát észlelték, amely a Google Chrome és a Microsoft Edge felhasználóit célozza meg, hamis böngészőbővítményeket telepítve egy hamis webhelyeken terjesztett trójai programon keresztül. Ez a kampány, amely 2021 óta aktív, a népszerű szoftverletöltő oldalaknak tűnő webhelyutánzatokat használja fel, hogy rávegye a gyanútlan felhasználókat, hogy rosszindulatú telepítőket töltsenek le.

A fenyegető táj

A rosszindulatú program, amelyet először a ReasonLabs azonosított, a keresési eredményeket eltérítő, viszonylag egyszerű reklámprogram-bővítményektől a kifinomultabb szkriptekig terjed, amelyek képesek személyes adatok ellopására és jogosulatlan parancsok végrehajtására a fertőzött rendszereken. A trójai már több mint 300 000 felhasználót érintett, kiemelve a kampány széles körű hatását.

Ennek a fenyegetésnek a középpontjában a rosszindulatú reklámozás áll, amelynek során a támadók hasonló webhelyeket hoznak létre, amelyek jól ismert szoftvereket népszerűsítenek, mint például a Roblox FPS Unlocker, a YouTube, a VLC médialejátszó, a Steam és a KeePass. Az ilyen programokat kereső felhasználók rávehetők egy trójai program letöltésére, amely csatornaként szolgál a rosszindulatú böngészőbővítmények telepítéséhez.

A telepítés után ezek a digitálisan aláírt rosszindulatú telepítők egy ütemezett feladatot regisztrálnak az áldozat rendszerén, amely elindít egy PowerShell-szkriptet, amely további hasznos terheléseket tölt le és hajt végre egy távoli kiszolgálóról. Ezek a hasznos terhek tartalmazzák a Windows rendszerleíró adatbázisának módosításait, amelyek kikényszerítik a Chrome Internetes áruházból és a Microsoft Edge-bővítményekből származó bővítmények telepítését. Ezeket a bővítményeket ezután arra használják, hogy eltérítsék a keresési lekérdezéseket a Google-on és a Microsoft Bing-en, átirányítva azokat a támadók által vezérelt szervereken keresztül.

Hogyan működik a rosszindulatú program

A trójai által telepített rosszindulatú bővítményeket a felhasználók még akkor sem tudják könnyen eltávolítani, ha a Fejlesztői mód engedélyezve van. A szkript legújabb verziói még veszélyesebbekké váltak a böngészőfrissítések eltávolításával, ami tovább mélyítette a kártevőket a fertőzött rendszereken.

Ezenkívül egy helyi bővítmény indul egy parancs- és vezérlőkiszolgálóról (C2), amely kiterjedt képességekkel rendelkezik. Elfog minden webes kérést, elküldi azokat a szervernek, parancsokat és titkosított szkripteket fogad, és rosszindulatú kódokat fecskendez be a weboldalakba. A rosszindulatú program emellett eltéríti a népszerű motoroktól, például az Ask.com-tól, a Bing-től és a Google-tól származó keresési lekérdezéseket, és a szerverein keresztül továbbítja azokat, mielőtt átirányítaná őket más keresőmotorokhoz.

Hogyan távolítsuk el a kiterjesztés trójai rosszindulatú programját

Ha azt gyanítja, hogy rendszerét ez a kártevő feltörte, döntő fontosságú, hogy azonnal intézkedjen a károk enyhítésére. Kövesse az alábbi lépéseket a rosszindulatú program eltávolításához és a rendszer visszaállításához:

  1. Ütemezett feladat törlése: Keresse meg és törölje azt az ütemezett feladatot, amely naponta újraaktiválja a kártevőt.
  2. Rendszerleíró kulcsok eltávolítása: Nyissa meg a Windows rendszerleíró adatbázisát, és távolítsa el a rosszindulatú programhoz kapcsolódó kulcsokat.
  3. Rosszindulatú fájlok és mappák törlése: Távolítsa el a következő fájlokat és könyvtárakat a rendszeréből:
    • C:\Windows\system32\Privacyblockerwindows.ps1
    • C:\Windows\system32\Windowsupdater1.ps1
    • C:\Windows\system32\WindowsUpdater1Script.ps1
    • C:\Windows\system32\Optimizerwindows.ps1
    • C:\Windows\system32\Printworkflowservice.ps1
    • C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-es verzió)
    • C:\Windows\system32\kondserp_optimizer.ps1 (2024. májusi verzió)
    • C:\Windows\InternalKernelGrid
    • C:\Windows\InternalKernelGrid3
    • C:\Windows\InternalKernelGrid4
    • C:\Windows\ShellServiceLog
    • C:\windows\privacyprotectorlog
    • C:\Windows\NvOptimizerLog

Az alábbi lépések követésével eltávolíthatja a rosszindulatú programot, és megelőzheti a rendszer további károsodását. Javasoljuk azonban, hogy telepítsen és rendszeresen frissítsen egy jó hírű víruskereső programot a jövőbeli fenyegetések elleni védelem érdekében.

Ez a folyamatban lévő rosszindulatú programokkal kapcsolatos kampány emlékeztet a digitális világban fejlődő fenyegetésekre. Ha éber és körültekintő, különösen akkor, ha ismeretlen forrásból tölt le szoftvereket, a felhasználók megvédhetik rendszereiket ezekkel a veszélyes trójaikkal szemben. Mindig ellenőrizze a webhelyek és letöltések hitelességét, és tartsa naprakészen biztonsági szoftverét, hogy megvédje magát a legújabb fenyegetésekkel szemben.

Zane -Ig
August 12, 2024
Trojan
Magyar
August 12, 2024
Trojan

Népszerű Bejegyzések

Mi az OperaGXSetup.exe fájl, és rosszindulatú?

11 months ezelőtt

Az Eporner.com és miért kockázatos a túl sok előugró ablak?

12 days ezelőtt

Vegye figyelembe: Valaki felvette Önt helyreállítási...

10 months ezelőtt

HackTool:Win32/Crack: rosszindulatú fenyegetés, amely súlyosan...

7 months ezelőtt

Potenciálisan komoly fenyegetés: Trojan:Win32/Suschil!rfn

19 days ezelőtt

Mi a Packunwan trójai faló fenyegetés, és hogyan érintheti a...

11 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.