Faceti cunostinta cu Extenbro, un nou troian care protejeaza adware-ul prin schimbarea DNS

Faceti cunostinta cu Extenbro, un nou troian care protejeaza adware-ul prin schimbarea DNS 5.00/5 (100%) 1 vote

Recent, a fost descoperit un nou ’schimbator’ DNS numit Extenbro, care vine cu un pachet adware. Acesti schimbatori DNS blocheaza accesul la site-urile legate de securitate, astfel încât victimele adware nu pot descarca si instala software-ul de securitate pentru a scapa de ele.

Malwarebytes pune la dispozitie un scurt tutorial pentru a scapa Extenbro.

Troianul Extenbro ajunge pe sistemele utilizatorilor prin un pachet care este detectat de Malwarebytes ca ‘Trojan.IStartSurf’.

Cum functioneaza si instructiuni de remove, in continuare;

                DNS Changer

In prima faza, troianul modifica setarile DNS ale sistemului infectat, astfel incat acesta nu va putea ajunge la site-urile vanzatorilor de solutii de Securitate (Bitdefender, Malwarebytes, etc.)

Partea ‘noua’ in acest troian este ca trebuie sa accesati fila DNS avansata pentru a gasi un total de 4 servere DNS in locul celor doua obisnuite.

                Task Scheduler

Dupa corectarea serverelor DNS, veti observa ca setarile DNS apar din nou dupa reboot. Acest lucru se intampla din cauza unui task creeat in scheduler de genul:

Locatia folderului si parametri de comanda par sa fie fixe, dar numele dosarului si a fisierului executabil sunt random.

                Root Certificate

Troianul adauga, de asemenea, un certificate la setul ‘Windows Root certificates’.

Cerficatul nu are ‘friendly name’ si se presupune ca este inregistrat pentru abose [@] reddit [.] com

                Disable IPv6

Modificand valoarea registrului ‘Disabled Components’ in cheia ‘HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters’ cu ‘FF’, troianul dezactiveaza IPv6 pentru a forta sistemul sa utilizeze noile servere DNS.

                User.js

Malware-ul face o schimbare in fisierul user.js (Firefox) si seteaza ‘security.enterprise_roots.enabled’ la valoarea ‘true’, configurand Firefox sa foloseasca Winodws Certificate Store in locatia unde a fost adaugat certificatul nou.

 

Instructiuni pentru remove

Pentru a putea descarca un tool de remove, primul pas este de a restabili serverele DNS la cele anterior folosite. Daca nu le cunoasteti, puteti utiliza serverele DNS furnizate de OpenDNS.

Un pas suplimentar trebuie facut cand ajungeti in fereastra aceasta:

Click pe advanced si selectati tab-ul DNS pentru a gasi cele doua servere DNS suplimentare pe care le-am mentionat mai devreme.

Acum ar trebui sa puteti vizita din nou site-urile de Securitate.

Pentru a ajunge pe site-urile acestea, este posibil sa aveti nevoie de o repornire a browserului. NU REPORNITI sistemul, serverele DNS vor fi schimbate din nou (datorita taskului din scheduler). Daca solutia dvs. de securitate nu detecteaza malware-ul, puteti descarca Malwarebytes. Dupa instalare si actualizarea programului, rulati scanarea completa. Dupa finalizarea scanarii, selectati toate amenintarile detectate si eliminati-le. Reporniti PC-ul cand vi se cere acest lucru.

Pentru a anula modificarea facuta in Firefox, accesati about:config si cautati in lista ‘security.enterprise_roots.enabled’, setarea implicita este ‘false’.

 

IOCs

DNS servers:

45.86.180.227

185.162.93.213

116.203.6.218

185.130.104.222

Installer:

SHA256 b2a28e9abb04a5926d53850623b1f3c6738169b27847e90c55119f2836c17006

Root certificate:

36509B8F624CE280E0C797F42F4A8F552A280313

Stay safe, everyone!

 

Articolul original, aici.

 

Share this article:

Etichete: , , ,
About the Author

Leave a Reply