O Que é PUA:Win32/MyWebSearch? Análise de Sequestrador e Remoção

PUA:Win32/MyWebSearch é uma detecção do Microsoft Defender que se refere a um modificador de navegador indesejado. Este aplicativo adiciona complementos e barras de ferramentas que de fato assumem o controle do navegador web, redirecionando consultas de pesquisa e fazendo com que anúncios apareçam. Geralmente se espalha como software complementar em pacotes e geralmente é instalado sem o consentimento explícito do usuário.

PUA:Visão geral do Win32/MyWebSearch

PUA:Win32/MyWebSearch é um aplicativo potencialmente indesejado com elementos do sequestrador de navegador que adicionam extensões e barras de ferramentas aos navegadores. Ele substitui o mecanismo de pesquisa e a página inicial atuais por Minha pesquisa na web[.]com, redirecionando todas as consultas de pesquisa através dele. Isso obviamente torna a navegação desconfortável, e também pode levar a infecções por malware.

PUA:Captura de tela da janela de detecção Win32/MyWebSearch — PUA:Janela de detecção Win32/MyWebSearch

Geralmente, este software indesejado se disfarça como vários aplicativos úteis ou extensões de navegador. No entanto, seu objetivo principal é coletar informações sobre a atividade online do usuário. Isso é feito para monetizar ainda mais essas informações por meio de redes de publicidade e vendas para empresas terceirizadas..

MyWebSearch é distribuído em pacotes com outros programas. Este método permite que software potencialmente indesejado seja instalado como “software recomendado” com o aplicativo principal. Outra rota é através anúncios e pop-ups em sites. PUA:Win32/MyWebSearch é frequentemente oferecido como uma extensão de navegador gratuita ou útil por meio de anúncios em sites com baixa credibilidade.

Análise técnica

Vamos ver como PUA:Win32/MyWebSearch se comporta no exemplo de uma das amostras. Todas as amostras desta família agem de forma semelhante, então a informação é relevante para qualquer um deles. Como mencionado, este programa indesejado não entra no sistema propositalmente.

Uma vez lançado, PUA realiza algumas verificações de depuração/ambiente virtual/sandbox, uma prática padrão de qualquer malware. Ele usa truques como dormir (loops evasivos) e também verifica algumas chaves de registro:

HKEY_CURRENT_USER\Software\Microsoft\DirectX\UserGpuPreferences

Esta chave contém informações sobre como usar a unidade de processamento gráfico (GPU) em DirectX. Nas versões gratuitas da maioria dos softwares de virtualização, há não há como emular uma placa gráfica real, então o programa saberá que está sendo executado em uma VM. No entanto, não está claro por que precisa dessas informações: independente do resultado, ele continua funcionando.

Escalação de privilégios

Para aumentar privilégios, MyWebSearch altera alguns valores no registro, entre eles:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\SecuritySafe HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\EdgeUpdate\ClientStateMedium

Essas chaves podem conter parâmetros ou configurações que, se manipulado, pode levar à escalada de privilégios. Além disso, MyWebSearch pode carregar DLLs adicionais e manipular processos e arquivos. A maior parte da atividade de arquivos ocorre na pasta temporária do sistema em DadosdoProgramaMicrosoftWindowsWERTemp. E isso é preocupante, já que brincar com sideload de DLL e WER é uma forma típica de malware dropper entregar outros programas maliciosos.

Coleção de dados

Próximo, PUA:Win32/MyWebSearch coleta alguns dados sobre a atividade do usuário. Isso inclui horas de atividade do usuário, consultas de pesquisa, histórico do navegador, etc.. Ele também verifica as informações do dispositivo, incluindo políticas de software, layouts de teclado, dados de volume, e informações do sistema Windows.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MUI\UILanguages\en-US HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CustomLocale HKEY_CURRENT_USER\Keyboard Layout\Preload

Vale a pena notar que PUA não rouba senhas ou outras informações confidenciais. Também, o aplicativo cria um objeto DirectInput. No entanto, isso não significa que ele roube dados de entrada. Em vez de, é um requisito padrão para que as teclas de atalho funcionem.

Modificações do navegador

PUA altera as configurações do navegador da web, substituindo a página inicial e o mecanismo de pesquisa pelo Mywebsearch[.]com[.]au. É um dos sites que esses programas maliciosos usam como servidores de comando, com Minha pesquisa na web[.]com sendo o principal.

Captura de tela da página Mywebsearch — Minha página de pesquisa na web

Também adiciona uma barra de ferramentas ou extensão ao navegador, que direcionará suas consultas de pesquisa para um mecanismo de pesquisa diferente. Esta barra de ferramentas, ao mesmo tempo, exibe serviços promovidos – outra integração de anúncios neste programa indesejado.

Captura de tela da barra de ferramentas MyWebSearch — Barra de ferramentas MyWebSearch

Como remover MyWebSearch?

Recomenda-se que uma solução antivírus avançada seja usada para remover o MyWebSearch. Uma solução antivírus de sistema regular pode não ser suficiente, pois não é malware, mas um aplicativo indesejado. Então, Antimalware GridinSoft seria a melhor opção porque, além de remover o próprio PUA, isso permite que você redefinir navegadores da web em dois cliques, evitando assim que o usuário tenha que limpar os navegadores manualmente.

Para removê-lo, execute o GridinSoft Anti-Malware, execute uma verificação completa, e apenas siga o fluxo. Próximo, vou ao “Ferramentas” guia e selecione “Redefinir configurações do navegador”. Próximo, escolha quais navegadores serão redefinidos e clique em “Reiniciar”. Além disso, você também pode selecionar quais configurações deseja redefinir, por exemplo, algumas configurações do sistema ou o arquivo HOSTS.

PUA:Win32/MyWebSearch