PUA:Win32/Conduit es una aplicación potencialmente no deseada que realiza actividad sospechosa con el navegador. Cambia la página de inicio y el motor de búsqueda e instala extensiones.. Se distribuye a través de software pirateado o bajo el «software recomendado» guisa.
PUA:Win32/Descripción general del conducto
PUA:Win32/Conducto (también pasa por PUAAdvertising:Win32/Conducto) es una aplicación potencialmente no deseada perteneciente a Conduit Search. Una de las características de Conduit es la actividad no deseada en el dispositivo del usuario.. Instala software adicional y cambia la configuración actual del navegador web sin el conocimiento del usuario., lo que lo convierte en un típico representante de un secuestrador del navegador. Al mismo tiempo, no es fácil quitar todo esto.
Conduit PUA generalmente cambia la página de inicio y el motor de búsqueda del navegador a conducto.de.busqueda[.]com sin el consentimiento del usuario. También instala una barra de herramientas en algunos navegadores., lo que puede generar redireccionamientos no solicitados a sitios web que contienen anuncios o malware. Además, Conduit a menudo recopila información sobre la actividad en línea de un usuario., como el historial de sitios web visitados, consultas de búsqueda ingresadas, etc.. Como resultado, Esta información puede usarse sin el permiso del propietario para fines fraudulentos o compartirse con terceros..
Análisis técnico
Veamos cómo se comporta esta infección., usando el ejemplo de una muestra que se hace pasar por una aplicación de captura de pantalla ScreenHunter.
El malware, representado por %SAMPLEPATH%19a6fab0b940ce5a1334a9ec80aeae1e1d585a15d9eccc5cbc75ec972edd1269.exe, acepta argumentos de línea de comando para controlar su comportamiento. Vincula muchas funciones en tiempo de ejecución en Windows: Esto indica que el malware vincula dinámicamente bibliotecas y funciones durante el tiempo de ejecución., haciendo que sea más difícil de detectar estáticamente.
Persistencia y escalada de privilegios
Próximo, el malware establece persistencia mediante la creación de una clave de registro de inicio automático no documentada:
HKEY_CURRENT_USER\Software\Wisdom-soft\toolbar
El malware almacena archivos en el directorio de inicio de Windows para garantizar su ejecución al iniciar el sistema.. Se puede observar que se intenta cargar archivos DLL faltantes., indicar posibles técnicas de evasión o garantizar la funcionalidad del malware. Dejó caer los siguientes archivos a the %USERPROFILE%\AppData\Local\Temp\ carpeta:
~GLH0002.TMP
GLCAB3D.tmp
GLKAB48.tmp
GLH0007.TMP
GLC46CA.tmp
Conduit crea un proceso en modo suspendido, sugerir técnicas de inyección de código para una ejecución más sigilosa. Esta táctica se utiliza a menudo por malware cuentagotas.
Evasión de defensa
En cuanto a evadir la detección, es estándar para aplicaciones no deseadas: Conduit codifica datos usando XOR para codificar datos, potencialmente para ofuscar sus actividades y evadir la detección. También utiliza técnicas de empaquetado de software para comprimir y cifrar sus ejecutables., haciendo el análisis y la detección más difíciles.
Actividad no deseada
Instala un gancho de búsqueda de URL de Internet Explorer. Esto le permite monitorear e interceptar el tráfico web., potencialmente capturar los hábitos de navegación de los usuarios o información sensible. Próximo, la aplicación instala barras de herramientas del navegador y objetos auxiliares para integrar el malware con el navegador Internet Explorer mediante la instalación de barras de herramientas y objetos auxiliares del navegador. Estas modificaciones pueden provocar un comportamiento no deseado del navegador., incluyendo redirecciones, anuncios intrusivos, y compromiso de los datos del usuario.
Además, modificando las claves de registro y los valores que pertenecen al navegador web, El malware Conduit añade una capa más de persistencia y evasión de detección. Estos trucos permiten que el programa no deseado siga funcionando incluso si algo elimina los archivos de los valores/carpetas de inicio automático.. Lograr esto, El programa malicioso juega con las siguientes claves de registro.:
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\URLSEARCHHOOKS
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS
Cómo eliminar aplicaciones no deseadas:Win32/Conducto?
Para eliminar aplicaciones no deseadas:Win32/Conducto, lo mejor es utilizar una solución avanzada. GridinSoft Anti-Malware es la mejor opción porque, además de eliminar software no deseado, restablecerá los navegadores web con un par de clics. Además, GridinSoft Anti-Malware proporcionará a su dispositivo protección proactiva.