MSRT dodaje więcej niechcianych programów do swoich możliwości wykrywania

Czasami oprócz oprogramowania, które chcemy zainstalować, twórcy oprogramowania często dołączają do niego niechciane programy. Niektóre z nich nie kończą się w tym momencie. Zmieniają ustawienia przeglądarki bez konieczności uzyskania pozwolenia. Takie zachowanie nie jest pożądane, ponieważ wpływa na twoje doświadczenie z komputerem. Takie oprogramowanie nazywa się potencjalnie niechcianym oprogramowaniem, a oprogramowanie, które je przesyła, nosi nazwę Bundleware.

Narzędzie do usuwania złośliwego oprogramowania lub narzędzie MSRT to bezpłatne narzędzie firmy Microsoft, które pomaga wyeliminować to niechciane ryzyko. Narzędzie usuwa specyficzne, rozpowszechnione szkodliwe i potencjalnie niechciane oprogramowanie z komputerów z systemem Windows.

Codziennie dowiadujemy się o nowych odmianach złośliwego oprogramowania, które mogą wyrządzić szkody użytkownikom komputerów. W związku z tym narzędzia bezpieczeństwa muszą być aktualizowane. Microsoft regularnie przechowuje kartę dotyczącą złośliwego oprogramowania i odpowiednio aktualizuje swoje narzędzia bezpieczeństwa. MSRT jest jednym z nich. Program jest w stanie usunąć niechciane oprogramowanie dostarczane w pakiecie z uwierzytelnionymi narzędziami i uniknąć wykrycia, podając się za legalne oprogramowanie lub aplikację. Ostatnia aktualizacja narzędzia rozszerzyła możliwości wykrywania kilku nowych trojanów, które próbują zmodyfikować zachowanie przeglądarki i zmienić jej ustawienia bez uzyskania zgody użytkownika.

1. BrowserModifier: Win32 / Sasquor
2. BrowserModifier: Win32 / SupTab
3. Trojan: Win32 / Ghokswa.

Wydanie październikowe MSRT 2016

Nieuczciwe elementy, takie jak wyżej wymienione rodziny szkodliwego oprogramowania często znajdują wpis na komputerze za pomocą różnych pakietów oprogramowania, takich jak:

• SoftwareBundler: Win32 / Mizenota, S
• oftwareBundler: Win32 / ICLoader i
• SoftwareBundler: Win32 / InstallMonster.

SupTab i Sasquor zostały zaoferowane przez program pakujący pod wieloma nazwami, w tym:

• Istartpageing
• Omniboxes
• Yoursearching
• iStart123
• Hohosearch
• Yessearches
• Youndoo
• Trotux

Niektóre pakiety, takie jak SupTab lub Sasquor, zmieniają ustawienia przeglądarki i strony głównej. Zagrożenia te zwykle zwalniają uwagę użytkownika.

W porównaniu do powyższych dwóch, rodzina szkodliwego oprogramowania Xadupi to inny wariant, który występuje w trzech różnych formach:

1. CornserSunshine
2. WinZipper
3. QKSee

Trojan instaluje się po cichu przez BrowserModifier: Win32 / Sasquor lub BrowserModifier: Win32 / SupTab. Pakiet oprogramowania, w którym się pakuje, stanowi przydatną aplikację, ale pobiera i instaluje fałszywe elementy.

Ten cichy tryb ataku Sasquora, SupTaba i Xadupi jest trochę podobny do siebie, ponieważ wszystkie instalują usługi i / lub zaplanowane zadania, które regularnie wysyłają kwerendy do serwerów zdalnych w celu uzyskania instrukcji, a od czasu do czasu zaleca się pobieranie / instalowanie dodatkowych aplikacji.

Oprócz tych projektów, każda rodzina służy różnym celom i zmienia się z czasem. Oto krótkie podsumowanie.

BrowserModifier: Win32 / Sasquor : dotyczy głównie popularnych i powszechnie używanych przeglądarek, takich jak przeglądarki Google Chrome i Mozilla Firefox. Modyfikator przeglądarki jest przeznaczony do instalowania usług i zaplanowanych zadań, które regularnie instalują inne złośliwe oprogramowanie, takie jak Trojan: Win32 / Xadupi, a czasami instaluje Trojan: Win32 / Suweezy.

Trojan: Win32 / Suweezy : Ten modyfikator przeglądarki nieco różni się od innego podejście. W przeciwieństwie do zmiany zachowania przeglądarki, próbuje zmodyfikować ustawienia programów Windows Defender, Microsoft Security Essentials, AVG Antivirus, Avast Antivirus i Avira Antivirus, aby uniknąć wykrycia i wykluczyć z skanowania niektóre foldery. Evasion zabrania usuwania szkodliwego oprogramowania, takiego jak Sasquor i SupTab.

Trojan: Win32 / Ghokswa : To zagrożenie jest członkiem rodziny Win32 / Ghokswa. Jest w stanie zainstalować dostosowaną wersję przeglądarki Chrome lub Firefox. Wersja Google Chrome sama w sobie reprezentuje Google Chrome, ale została zmodyfikowana, aby używać innej strony głównej i interfejsu wyszukiwarki.

Trojan: Win32 / Xadupi : To prowadzi do efektu śnieżki. W jaki sposób? Trojan: Win32 / Xadupi instaluje usługę, która z kolei instaluje inne niechciane aplikacje, w tym Ghokswa i SupTab.

Łącznie te rodziny złośliwego oprogramowania mogą wyrządzić więcej szkód, aw niektórych przypadkach poważnie obniżyć poziom bezpieczeństwa komputera użytkownika przez manipulowanie aplikacje antywirusowe, unikając wykrycia i wprowadzając nowe szkodliwe oprogramowanie w czasie.

Jak można pozostać chronionym? Microsoft sugeruje, co następuje:

Najprostszym i najbardziej niezawodnym rozwiązaniem powyższego problemu jest aktualizacja systemu operacyjnego Windows i programów antywirusowych. Windows 10 chroni komputer przed najnowszymi zagrożeniami bezpieczeństwa. Zawiera znaczące zmiany architektoniczne, które są w stanie rozwiązać większość taktyk stosowanych w atakach. Tak więc, uaktualnij system do wersji 10.

Firma Microsoft zaleca także korzystanie z Edge. Przeglądarka ostrzega przed witrynami, które nie są zaufane i które są hostem exploitów. Poza tym przeglądarka oferuje ochronę przed atakami społecznymi, takimi jak phishing i pobieranie złośliwego oprogramowania.

Ustawienia przeglądarki mogą być również użyte do skonfigurowania w celu zresetowania do domyślnych zaleceń firmy Microsoft, na wypadek gdyby wartości domyślne zostały zmienione lub zmodyfikowane. Aby to zrobić, uruchom aplikację Ustawienia i przejdź do strony Domyślne aplikacje. Następnie z Home przejdź do System> Default apps. Pod nim znajdź opcję Resetuj i kliknij ją.

Należy również unikać przeglądania witryn, które mogą zawierać złośliwe oprogramowanie, na przykład pirackich witryn do pobierania oprogramowania.

Podczas gdy sam program Windows Defender jest w stanie wykryć i usunąć to niechciane oprogramowanie, uruchomienie narzędzia Malicious Software Removal Tool to dobry pomysł.

Aby uzyskać więcej informacji, zobacz blogi TechNet.