Nebezpečný PUP nalezený v balíčku Adobe Photoshop Album Starter Edition

PUP (Potentially Unwanted Program) je označení pro software, který se nám nainstaluje společně s dalším programem, aniž bychom o to měli zájem. Většinou je součástí různých balíčků, které při instalaci nabídnou PUP formou zaškrtnutého checkboxu a uživatel si při klikání na tlačítko další ani nevšimne, co si vlastně instaluje. Nejčastěji se setkáme s různými lištami do internetových prohlížečů, ale riziko PUP je daleko větší. To je i případ WinYahoo, který byl součástí Adobe Photoshop Album Starter Edition.

Odborníci z malwarebytes.org zmapovali dopodrobna fungování WinYahoo a ukázali jak jsou PUP nebezpečné a je třeba si na ně dávat opravdu pozor.

Samotný WinYahoo nemá nic společného s vyhledávačem Yahoo!, pouze se tak tváří. Na první pohled pouze přenastaví v internetových prohlížečích jako základní prohlížeč Yahoo! Ve skutečnosti toho ale dělá daleko víc.

Jakmile se mu podaří projít přes antivirovou ochranu, testuje totiž zdali zdali není instalován na virtuální stroj (VM), začne s instalací. Mimochodem snaha obejít bezpečnostní opatření počítače je běžná u malware. Pokud zjistí přítomnost VM, tak se uživateli objeví nabídka na Norton 360.

Jakmile získá povolení, uloží do dočasných souborů setup.exe, který spustí. Začne samotná instalace při níž se pokusí zároveň přepsat nastavení internetových prohlížečů. WinYahoo si také stáhne DLL.

Co výzkumníky z malwarebytes překvapilo byla schopnost WinYahoo dostat se přes bezpečnostní opatření Google Chrome. Ten si totiž své nastavení chrání. Při jeho úpravě je vytvořen hash (data jsou převedena na krátký řetězec) nastavení. Při každém spuštění si Chrom testuje zdali aktuální uložené nastavení odpovídá hash. Pokud by se totiž někdo pokusil z venku změnit nastavení neodpovídalo by uloženému hash. WinYahoo však po úpravě konfigurace Google Chrome celé nastavení znovu zahashuje a přepíše starý hash novým. Tím není schopný Chrome detekovat, že je něco špatně.

A co WinYahoo vlastně dělá špatného? Do internetových prohlížečů nainstaluje rozšíření Sale Charger. To pravidelně otvírá nové záložky s reklamou. Co je ale horší na některých stránkách vkládá infoboxy s reklamou na placenou technickou podporu. Jedná se o takzvaný Tech Support Scams. To slibuje odstranění právě samovolně se zobrazující reklamy v záložkách.

Sale Charger toho docílí pomocí javascriptu, který se automaticky vkládá do internetových stránek.

Jak je vidět PUP jdou často nad rámec běžných nepříjemných lištiček, které zpomalují počítač a surfování po internetu. Je třeba věnovat dostatek času při instalaci programů a neodklikávat vše bez rozmyslu

Share Button

Tento článek byl byl přečten 916 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *