AwarenessMalware

Webssearches – niechciany Adware

Na czym polega problem?

Chyba mało kto lubi jak ktokolwiek próbuje zmuszać go do używania konkretnej przeglądarki internetowej, wyszukiwarki lub jakiegokolwiek innego narzędzia, tym bardziej gdy cofnięcie zmian przerasta możliwości przeciętnego użytkownika komputera.

Taki przykładem jest oprogramowanie typu Adware, którego użycie skutkuje ustawieniem domyślnej wyszukiwarki „Webssearches.com”. Twórcy tego oprogramowania postawili sobie za cel (poza innymi) uzależnienie użytkowników od ich serwisu, śledzenie sesji przeglądania internetu, wykradanie plików cookies i inne.

Teoretycznie, na początku wszystko wygląda niepozornie (lub właśnie podejrzanie). Użytkownik instalując jedno z „przydatnych” narzędzi do czyszczenia dysku zgadza się, aby pobrało je odpowiednie oprogramowanie, tzw. „downloader”. Praktyka często spotykana w bibliotekach oprogramowania, jednak tam użytkownik może skorzystać z odnośników bezpośrednich mogąc pominąć „downloader”. W typ przypadku tak nie jest.

Skutkiem zainstalowania downloadera jest zmiana konfiguracji wszystkich popularnych przeglądarek internetowych, t.j Internet Explorer’a, Chrome’a i Firefox’a. W przypadku IE zmiany dokonują się w rejestrze systemowych Windows – co już nie jest takie fajne.

W przypadku Firefoksa, zinstalowanie oprogramowania skutkuje zmianą konfiguracji oraz strony startowej na http://istart.websearches.com/.

webssearches wygląd serwisu

Wygląda to następująco:

Chcąc przywrócić konfigurację strony startowej do stanu pierwotnego nie wystarczy zmienić ustawienia przeglądarki, gdyż niezależnie od ustawień strony startowej – po uruchomieniu przeglądarki otrzymamy ponownie powyższy efekt. Dlaczego?

Oprogramowanie w czasie instalacji zmienia:

  • Ustawienia rejestru systemowego dla IE.
  • Ustawienia konfiguracji przeglądarek internetowych IE, Chrome i Firefox.
  • Ustawienia skrótów do programów.

 

Chcąc przywrócić prawidłowe działanie przeglądarek należy uwzględnić powyższe punkty przywracając konfigurację przeglądarki do stanu początkowego, a w przyszłości należy być bardziej czujnym instalując oprogamowanie z sieci gdyż oprogramowanie antywirusowe nie wykrywa tego rodzaju programów.

Przywracanie konfiguracji Firefox’a.

Firefoksa konfigurujemy wpisując w pasku adresu polecenie about:config (zmiana konfiguracji przeglądarki w ten sposób może skutkować utratą wsparcia). Filtrując ustawienia przez to, co nas interesuje otrzymamy taki wynik:

webssearches-config

Zaznaczamy każdy z trzech łańcuchów konfiguracji, klikamy prawym przyciskiem myszy wybierając opcję „Resetuj”. W ten sposób przywrócimy domyślne ustawienia przeglądarki dla nowych kart otwieranych przez użytkownika.

Teraz mamy taką sytuację, że nowe okna przeglądarki i karty (poza pierwszym uruchomieniem) otwierają domyślne strony Firefoksa. Przyczyny trzeba szukać dalej. Wybór pada na skrót uruchamiający firefoksa.

Rzeczywiście. W ustawieniach skrótu uruchamiającego firefoksa w polu „Element docelowy” od razu widzimy string

„C:\Program Files (x86)\Mozilla Firefox\firefox.exe” http://istart.webssearches.com/?type=sc&ts=1402834806&from=exp&uid=[TU NASTEPUJE CIAG ZNAKOW IDENTYFIKUJACYCH ZAINFEKOWANA PRZEGLADARKE)”

Przywracamy to pole do wartości domyślnej

„C:\Program Files (x86)\Mozilla Firefox\firefox.exe”

i to tyle. Powyższą operację należy wykonać na wszystkich skrótach uruchamiających przeglądarkę, t.j.co najmniej w skrótach znajdujących się na pulpicie, na pasku zadań i w pasku „MENU START”.

Narzędzia

Należy być ostrożnym w używaniu narzędzi do usuwania oprogramowania Adware. Często takie narzędzia (szczególnie darmowe) same wyciągają dane z systemu użytkownika.

Należy również omijać z daleka serwisy udające oficjalny poradnik, jak ta:

http://www.webssearches.net/pl/

Usuwając tego typu oprogramowanie, należy:

  • Zrobić to samodzielnie jeżeli posiada się odpowiednią wiedzę.
  • Użyć sprawdzonych narzędzi renomowanych dostawców.
  • Skorzystać z doświadczenia specjalistów bezpieczeństwa