WebSearcher PUP 劫持并锁定浏览器代理服务器设置
2016-01-06 本文已影响87人
威客安全
PUP嗅探用户的网络流量并插入了令人厌恶的广告
Malwarebytes 的安全专家发现了新型 PUP(潜在不安全程序)—— WebSearcher,该程序秘密接管 IE、Google Chrome、Firefox等浏览器的代理服务器设置并阻止用户对其作出更改。
WebSearcher一般作为Video Codex 及视频播放器类应用程序,并使用(本地托管)代理服务器分析用户网络流量只偶在合法网站偷偷植入广告。
WebSearcher的特点(也是最令人厌烦的地方)在于,这个广告软件通过注册表项,而不是实际面板更改了浏览器内置的代理服务器设置。
当访问设置面板是,用户会发现设置中已经不是默认值了,并且没有办法进行更改。
更改代理服务器劫持设置的唯一方法是卸载 WebSearcher PUP。
实际上,WebSearcher 滥用了其他合法软件库,其中一个软件是 Fiddler Web debugging,一款安全研究员常用的调试恶意软件行为的工具。
除了 FiddlerCore.dll 和 FiddlerCoreWrapper.dll 两个文件外,WebSearcher 也使用了 Fiddler 的‘DO_NOT_TRUST_FiddlerRoot’根证书,Malwarebytes 研究人员建议用户删除该证书,直至用户确定已经清除了 WebSearcher 感染。
由于PUP可以通过根证书未经用户同意安装其他应用,所以在确认清除 WebSearcher 前最好不要保留该根证书。