PUA:Win32/Conduit é um aplicativo potencialmente indesejado que realiza atividades suspeitas com o navegador. Muda a página inicial e o mecanismo de pesquisa e instala extensões. É distribuído através de software hackeado ou sob o “software recomendado” disfarce.
PUA:Visão geral do Win32/Conduíte
PUA:Win32/Conduit (também atende por PUAAdvertising:Win32/Conduit) é um aplicativo potencialmente indesejado pertencente a Conduit Search. Uma das características do Conduit é a atividade indesejada no dispositivo do usuário. Ele instala software adicional e altera as configurações atuais do navegador sem o conhecimento do usuário, o que o torna um representante típico de um sequestrador de navegador. Ao mesmo tempo, não é fácil remover tudo isso.
O Conduit PUA geralmente altera a página inicial do navegador e o mecanismo de pesquisa para pesquisa.conduit[.]com sem o consentimento do usuário. Também instala uma barra de ferramentas em alguns navegadores, o que pode levar a redirecionamentos não solicitados para sites que contêm anúncios ou malware. Além disso, O Conduit geralmente coleta informações sobre a atividade online de um usuário, como o histórico dos sites visitados, consultas de pesquisa inseridas, etc.. Como resultado, essas informações podem ser usadas sem a permissão do proprietário para fins fraudulentos ou compartilhadas com terceiros.
Análise técnica
Vamos ver como essa infecção se comporta, usando o exemplo de uma amostra que se disfarça como um aplicativo de captura de tela ScreenHunter.
O malware, representado por %SAMPLEPATH%19a6fab0b940ce5a1334a9ec80aeae1e1d585a15d9eccc5cbc75ec972edd1269.exe, aceita argumentos de linha de comando para controlar seu comportamento. Ele vincula muitas funções em tempo de execução no Windows: Isso indica que o malware vincula dinamicamente bibliotecas e funções durante o tempo de execução, tornando mais difícil detectar estaticamente.
Persistência e escalada de privilégios
Próximo, o malware estabelece persistência criando uma chave de registro de inicialização automática não documentada:
HKEY_CURRENT_USER\Software\Wisdom-soft\toolbar
O malware armazena arquivos no diretório de inicialização do Windows para garantir sua execução na inicialização do sistema. A tentativa de carregar DLLs ausentes pode ser observada, indicando possíveis técnicas de evasão ou garantindo a funcionalidade do malware. Ele descartou os seguintes arquivos para o %USERPROFILE%AppDataLocalTemp pasta:
~GLH0002.TMP
GLCAB3D.tmp
GLKAB48.tmp
GLH0007.TMP
GLC46CA.tmp
Conduit cria um processo em modo suspenso, sugerindo técnicas de injeção de código para uma execução mais furtiva. Essa tática é frequentemente usada por malware conta-gotas.
Evasão de Defesa
Quanto a escapar da detecção, é padrão para aplicativos indesejados – o Conduit codifica dados usando XOR para codificar dados, potencialmente para ofuscar suas atividades e evitar a detecção. Ele também usa técnicas de empacotamento de software para compactar e criptografar seus executáveis, tornando a análise e a detecção mais difíceis.
Atividade indesejada
Instala um gancho de pesquisa de URL do Internet Explorer. Isso permite monitorar e interceptar o tráfego da web, potencialmente capturando hábitos de navegação do usuário ou informações confidenciais. Próximo, o aplicativo instala barras de ferramentas do navegador e objetos auxiliares para integrar o malware ao navegador Internet Explorer, instalando barras de ferramentas e objetos auxiliares do navegador. Tais modificações podem levar a um comportamento indesejado do navegador, incluindo redirecionamentos, anúncios intrusivos, e comprometimento dos dados do usuário.
Adicionalmente, modificando chaves e valores de registro que pertencem ao navegador da web, O malware conduit adiciona mais uma camada de persistência e evasão de detecção. Esses truques permitem que o programa indesejado continue funcionando mesmo que algo exclua os arquivos dos valores/pastas de inicialização automática. Para alcançar isto, programa malicioso brinca com as seguintes chaves de registro:
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\URLSEARCHHOOKS
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS
Como remover PUA:Win32/Conduit?
Para remover PUA:Win32/Conduit, é melhor usar uma solução avançada. Antimalware GridinSoft é a melhor opção porque, além de remover software indesejado, ele redefinirá os navegadores da web com alguns cliques. Além disso, GridinSoft Anti-Malware fornecerá proteção proativa ao seu dispositivo.