Google Redirect Virus

Reading Time: 6 minutes

Opis wirusa przekierowującego strony Google

Wirus przekierowania Google istnieje już od jakiegoś czasu i jest znany z wielu aliasów, chociaż podstawowe zachowanie pozostaje niezmienne. Zasadniczo “Google Redirect Virus” pogrywa sobie z użytkownikami komputerów, którzy chcą przeszukiwać Internet przez losowe przekierowanie ich do złośliwych stron internetowych lub wyszukiwarek.

Każda forma wirusa Google Redirect Virus jest niebezpieczna ze względu na złośliwe polecenia, które wykonuje i techniki ukrywania oprogramowania używane do ukrycia swoich plików przed ciekawskimi oczami i radarami oprogramowania antywirusowego. Złośliwe oprogramowanie, takie jak Google Redirect Virus, może zostać dołączone i zamaskowane w legalnym pobieraniu freeware, shareware lub kodeku potrzebnym do oglądania filmu. Wtyczki są kolejną formą oszukańczego transportu wirusa, który wykorzystuje niewiedzę użytkowników komputerów PC do bezpieczeństwa w Internecie, ponieważ wielu ślepych kliknięć nie zna pochodzenia.

Głównym celem Google Redirect Virus jest przejęcie przeglądarki internetowej i przekierowanie jej na złośliwe witryny, w tym między innymi do:   Search.babylon.com, scour.com, blinkx.com, Worldslife.com, Blendersearch.com, Bodisparking.com, coolsearchserver.com, webplains.net, find-fast-answers.com, search-netsite.com, toseeka.com, AboutBlank, La.vuwl.com, 10-directory.com, 63.209.69.107, 67.29.139.153, 7search.com, adorika.com, adf.ly, admarketplace.com, alive-finder.com, alltheservices.com, articlemule.org, asklots.com, ave99.com, b00kmarks.com, background-sleuth.net, bargainmatch.com, beoo.com, bestdiscountinsurance.com, bestsearchpage.com, bestclicksnow.com, bestmarkstore.com, bestwebchoices.com, bestwebsearch.com, bidsystem.com, secure.bidvertiser.com, britewallet.com, budgetmatch.net, buzzclick.com, celebrity-gossip.net, cheapstuff.com, citysearch.com, clicksor.com (Clicksor), clkads.com, feed.clickbizz.com, comparedby.us, comparestores.net, couponmountain.com, digitaltrends.com, easilyfindlocal.com, everythinghere.com, evoplus.com, expandsearchanswers.com (expand search answers), fastfinder.com, feedsmixer.org (starFeedsMixer), find-quick-results.com, FilesCup.com (FilesCup), findexmark.com, find-answers-fast.com, Zinkwink.com, us-srch-system.com, finditreport.com, findology.com, finderquery.com, findstuff.com, flurrysearch.com, forless.com, gimmeanswers.org, glimpse.com, google-redirect.com, googlesearchserver.net, get-search-results.com, goingonearth.com, goodsearch.com, gomeo.co.uk, gossipcenter.com, gquestionnaire.com, greatsearchserver.com, greenluo.com, grooveswish.com, guide2faucets.com, happili.com, HelloLocal.com, hyperpromote.com, informationgetter.com, inruo.com, jerseyscatalog.com, juggle.com, k100searches.com, YouPorn, liutilities.com, livejasmin.com (creative.livejasmin.com popups), local-search-pages.com, localpages.com, localsearchbug.com, lowpriceshopper.com, manufacturersdirectory.com, multifind24.com, mybestclick.net, mycustomsearch.cn, mydealchoices.com, mydealmatch.com, mylocalhero.com, neatsales.com, neatsearchserver.com (neat search server ZeroAccess rootkit), netsearchfinder.com, netshoppers.com, nexplore.com, privacycheck.ru, Pulse360.com, qooqle.com, questyes.com, quick-search-results.com, quick-suggest.com, redirectsite.net, results5.google.com, safecompare.com, saveandcoupon.com, savecompare.com, savingwithads.com, scoursearch.net, search-redirector.com, searchforall.info, searching4all.com, search-results.com (int.search-results.com), searchbacon.com, searchdiscovered.com, searchqu.com, searchqualitysites.com, searchnext.com, searchspice.com, shopcompare.net, shopcompareus.com, shopfinded.com, shopica.com, shopica.com/search, shopzilla.com, socialsurvey2011.info, Social Search Redirect, Search-netsite.com, kitchenrenopages.com, kingtopsearch.net, kiseek.com, lawyerinsight.org, letsbuystuff.com, njksearc.net, qooqlle.com, Storeordersonline.com, somesearchsystem.com, startnow.com, startsearcher.com, supersearchserver.com, TabDiscover.com, tazinga.com (tazinga!), theifinder.com, Thewebtimes.com, Marveloussearchsystem.com, merchantsnearby.com, monstermarketplace.com, mooter.com, TheTop10.com, tubedownloader.com, theyellowpages.com, theyellowpagez.com, topdaodrugs.com, tubedownloader.com, Therelatedsearch.com, unblock-us.com, valueapproved.com, vshare.toolbarhome.com (vShare), vehiclefind24.com, whatcarefreefeelslike.com,weeklycontestwinner.org, weeklyusa-winner.com, webshoppinghelper.com, webresults6.org, yellowmoxie.com, search.yellowise.com, ylwbook.addresses.com, youfindmore.com and Zwankysearch.com.

Nie wszystkie złośliwe oprogramowania ogłaszają swoją obecność, ale dopóki nie zmienisz własnego pliku hosta, możesz mieć pewność, że masz porywacza przeglądarki lub Google Redirect Virus, gdy twoje żądania wyszukiwania przymusowo kierują cię do niechcianych stron internetowych. Cyberprzestępcy tworzą złośliwe oprogramowanie dla wielu zadań i osiągają jeden lub więcej celó. Na zagranicznych stronach internetowych mogą znajdować się linki, które powodują, że cyberprzestępcy są niezrealizowanymi resztami za kliknięcie (PPC) lub mogą promować nieuczciwy program ochrony.

“Google Redirect Virus” ma charakterystyczne cechy rootkit, co oznacza, że ​​może pozostać niewykryty z wielu aplikacjami. “Google Redirect Virus” można nazwać bardzo podobnym do pasożytów i fałszywych aplikacji bezpieczeństwa znanych pod nazwą Backdoor.Tidserv, Alureon, Windows Necessary Firewall, a nawet Fast Windows Antivirus 2011.

Złośliwe oprogramowanie wykorzystuje luki znalezione w oprogramowaniu lub sprzęcie lub wykorzystuje ludzkie zachowanie i ignorancję w wykonywaniu praktyk bezpieczeństwa w Internecie. Jeśli więc Ty lub ktoś, kto korzysta z komputera, spełnia jeden z poniższych warunków, może wyjaśnić, jak Twój komputer został zainfekowany wirusem “Google Redirect Virus”.

  • Miałeś szanse ale zdecydowałeś, że nie zainstalujesz sprawdzonego narzędzia do zwalczania złośliwego oprogramowania.
  • Zainstalowałeś narzędzie antywirusowe, ale czułeś się niekomfortowo i nie odnowiłeś go.
  • Zostałeś wciągnięty w klikanie podejrzanego linku jakiegoś internetowego samobójstwa lub
    sławnej mistyfikacji.
  • Zostałeś zasypany spamem, ponieważ nie zweryfikowałeś źródła tego załącznika do e-maila ani linku
  • Twoja rodzina lub przyjaciel, którego konta zostały zhackowane przez cyberprzestępcę.
  • Uwielbiasz piracką muzykę lub filmy na tych stronach jest najwięcej tego typu wirusów
  • Kochasz freeware i shareware, mogłeś ściągnąć zainfekowany kodek, żeby obejrzeć film lub wideo.
  • Uwielbiasz odwiedzać strony porno, strony z grami lub warezami i tam mogłeś się nim zarazić.

Aby zwalczać złośliwe oprogramowanie krótko i długoterminowo, należy zrozumieć jego strukturę i złośliwe intencje. Poniżej znajduje się ogólny zarys tego, co można znaleźć na komputerach, na których znajduje się “Google Redirect Virus”:

  • Trojan uzyskuje zwodnicze wejście, wykorzystując luki w sprzęcie, oprogramowaniu lub na podstawie dobrych ludzkich zachowań i słabych praktykach bezpieczeństwa w Internecie.
  • Modyfikuje rejestr systemu i tworzy wpis, dzięki czemu jego losowy plik wykonywalny jest uruchamiany przy każdym rozruchu.
  • Usuwa plik .TMP z folderu tymczasowego, a ten plik instaluje inne złośliwe składniki.
  • Plik .TMP (losowo nazwany) zarejestruje się jako legalna usługa (omijając w ten sposób zaporę sieciową i unikając wysiłków natywirusa), kopiując poprawny plik .dll i modyfikując go swoim trującym skryptem, aby załadować jego złośliwy plik .TMP.
  • Następnie wykorzystuje luki w wykazie DLL systemu Microsoft Windows przez dodanie “zmodyfikowanego” pliku .dll i załadowanie go do pamięci wraz z innymi “prawowitymi” plikami.
  • Po załadowaniu jadowity plik .TMP tworzy losowo nazwany plik w folderze “sterownik” (zwykle z rozszerzeniem .sys). Ten losowy plik jest składnikiem, który ukrywa wszystkie złośliwe pliki i programy przed wzrokiem ciekawskich (twoim radarem oprogramowania antywirusowego).
  • Po rozmieszczeniu losowego pliku .sys, wpuszcza plik .dll do folderu “system”, a następnie plik ten jest wprowadzany do pliku wykonywalnego SVCHOST, który pobiera więcej złośliwych składników z Internetu. To te pliki konfiguracyjne pomagają hakerowi:
  1. Wykonuj transfery HTTP (tj. Wysyłać lub odbierać nowe transmisje)
  2. Wyświetlaj lub wyzwalaj wyskakujące reklamy
  3. Blokuje uruchamianie programów lub aplikacji, zwłaszcza tych, które zagrażają złośliwym atakom.
  4. Ustaw opóźnienie polecenia
  5. Zamów ataki DNS
  6. Fałszywe konta e-mail i osoby spamujące na liście kontaktów
  7. Pobierz inne złośliwe programy, takie jak:
    – Trojan keylogger = wykrada ważne dane z pamięci podręcznej lub bezpośrednio z formularzy internetowych
    – Trojan backdoor = używa narzędzia do zdalnej pomocy, aby potajemnie korzystać z komputera
    – Trojan Hijacker = zmienia pliki hostów i przekierowuje wyszukiwania internetowe na złośliwe lub niechciane strony internetowe
    – Trojan dropper = umieszcza więcej szkodliwych składników lub programów na twoim komputerze

Oprócz przejęcia przeglądarki przez Google Redirect Virus, Twój system może zostać uszkodzony i możesz zauważyć:

  • Usterka klawiatury
  • System Windows nieoczekiwanie zażąda ponownej aktywacji sterowników
  • System działa wolno lub zawiesza się
  • Aplikacje nie działają poprawnie
  • Strona główna została zmieniona lub przeglądarka przekierowuje cię do niechcianych stron
  • Ikony dodane lub brakujące i sprzęt lub sterowniki nie działają

Im dłużej pozwolisz, aby wirus Google Redirect nie przestawał działać, tym większe ryzyko lub zagrożenie dla danych i systemu, ponieważ te szkodliwe programy zużywają dużo zasobów i mogą spowodować awarię systemu.

Jednak nie zdziw się, jeśli napadną Cię reklamy pop-upów lub przerażające powiadomienia i fałszywe ostrzeżenia, lub jeśli sprytnie wyglądający interfejs pojawi się znikąd i uruchomi nieautoryzowane skanowanie. Jest to typowe zachowanie nieuczciwego programu bezpieczeństwa, dobrze wykorzystywanego oszustwa, które ma na celu przestraszyć użytkowników komputerów i ślepo przekazywać Twoje karty kredytowe i numer banku, aby kupić bezużyteczne oprogramowanie (które ma np” Cię ochronić przed różnymi wirusami). Nigdy nie ufaj programowi, który sam się ładuje, uruchamia nieautoryzowane skanowanie lub przechwytuje przeglądarkę.

Nie trać czasu i nie pozwól hakerom ukraść twoich danych osobowych. Walcz z ogniem za pomocą niezawodnych narzędzi anty-malware, które są w stanie zagłębić się w katalogu głównym systemu i odnaleźć wszystkie ślady wirusa Google Redirect.

W międzyczasie odłącz swój Internet, aby zatrzymać wszelkie nowe transmisje danych do zdalnego serwera. Przejdź do komputera wolnego od szkodliwego oprogramowania i zmień swoje dane logowania i dane uwierzytelniające dla swoich kont online.

Aliasy: Trj/Genetic.gen [Panda], HEUR:Trojan.Win32.Generic [Kaspersky], WIN.Trojan.Agent-83670 [ClamAV], TROJ_GEN.RCBZ7A6 [TrendMicro-HouseCall], WS.Reputation.1 [Symantec], Trojan.Kryptik!bnm2LXIQg/s [Agnitum], Trojan/Kryptik.akco [TheHacker], Trojan [K7AntiVirus], Artemis!A99D0C59FDB7 [McAfee], Trojan.Vundo.Gen [CAT-QuickHeal], Trojan.Win32.ZPACK.bebabu [NANO-Antivirus], Trojan.Agent/Gen-Kryptik [SUPERAntiSpyware], UnclassifiedMalware [Comodo], Generic29.AKVZ [AVG] and W32/Kryptik.KO!tr [Fortinet].

“Google Redirect Virus” tworzy następujące pliki:

“Google Redirect Virus” tworzy następujące wpisy rejestru: