Kaspersky Threats — not-a-virus:AdWare.Win32.Ad2345.bnb

Classe: Adware

Adware couvre les programmes conçus pour afficher des publicités (généralement sous forme de bannières), rediriger les demandes de recherche vers des sites Web publicitaires et collecter des données marketing sur l'utilisateur (par exemple, les types de sites qu'il visite) afin d'afficher des publicités personnalisées. l'ordinateur. Outre l'affichage de publicités et la collecte de données, ces types de programmes ne permettent généralement pas de connaître leur présence dans le système: il n'y a aucun signe du programme dans la barre d'état système et aucune indication dans le menu du programme que les fichiers ont été installés. Souvent, les programmes Adware ne disposent pas de procédures de désinstallation et utilisent des technologies qui s'apparentent à la technologie antivirus pour aider le programme à pénétrer furtivement l'ordinateur et à passer inaperçu. Pénétration Adware pénètre de deux manières différentes sur l'ordinateur d'un utilisateur: il est intégré à certains programmes freeware et shareware installés sans autorisation sur l'ordinateur d'un utilisateur à la suite d'une visite sur un site Web infecté. La plupart des programmes freeware et shareware cessent d'afficher des publicités une fois qu'ils ont été achetés et / ou enregistrés. Mais ces programmes utilisent souvent des utilitaires Adware tiers intégrés et, dans certains cas, ces utilitaires restent installés sur l'ordinateur de l'utilisateur même une fois les programmes enregistrés. En outre, supprimer le composant Adware, qui est toujours utilisé par un programme pour afficher des publicités, peut provoquer un dysfonctionnement du programme. L'objectif principal de la propagation d'Adware via la première méthode est d'extraire un type de paiement pour le logiciel en diffusant des publicités à l'utilisateur (les parties qui font les publicités paient l'agence de publicité et l'agence publicitaire paie le développeur Adware). Adware contribue également à réduire les dépenses des développeurs de logiciels (les revenus générés par Adware les incitent à écrire de nouveaux programmes et à améliorer ceux qui existent déjà), tout en réduisant les coûts pour les utilisateurs. Les technologies Hacker sont souvent utilisées lorsque des composants publicitaires sont installés sur l'ordinateur d'un utilisateur à la suite d'une visite sur un site Web infecté. Par exemple, l'ordinateur peut être pénétré via une vulnérabilité de navigateur et des chevaux de Troie conçus pour s'installer furtivement (Trojan-Downloader ou Trojan-Dropper) peuvent être utilisés. Les programmes publicitaires qui fonctionnent de cette manière sont souvent appelés Pirate de navigateur. Affichage des publicités La publicité est présentée à l'utilisateur de deux manières principales: en téléchargeant du texte publicitaire et des images sur un ordinateur à partir de serveurs Web ou FTP appartenant à l'annonceur redirigeant les requêtes de recherche de navigateur Internet vers des sites publicitaires. Dans certains cas, les demandes de redirection ont lieu uniquement si la page Web demandée par l'utilisateur n'est pas disponible, c'est-à-dire s'il s'agit d'une erreur dans l'URL. Collecte de données En plus d'afficher des publicités, de nombreux systèmes publicitaires collectent également des données sur l'ordinateur et l'utilisateur, telles que: l'adresse IP de l'ordinateur le système d'exploitation et la version du navigateur une liste des sites les plus visités mener des campagnes publicitaires ultérieures. Remarque: il est important de ne pas confondre Adware qui recueille des données avec les programmes de logiciels espions Trojan. La différence est que Adware recueille des données avec le consentement de l'utilisateur. Si Adware n'indique pas à l'utilisateur qu'il collecte des informations, il est alors classé comme un programme malveillant (Malware), spécifiquement couvert par le comportement Trojan-Spy.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Famille: AdWare.Win32.Ad2345

No family description

Examples

D38127A3B1114A9A5537E3CC965577D0

Tactics and Techniques: Mitre*

TA0005

Defense Evasion

The adversary is trying to avoid being detected. Defense Evasion consists of techniques that adversaries use to avoid detection throughout their compromise. Techniques used for defense evasion include uninstalling/disabling security software or obfuscating/encrypting data and scripts. Adversaries also leverage and abuse trusted processes to hide and masquerade their malware. Other tactics' techniques are cross-listed here when those techniques include the added benefit of subverting defenses.

T1070.006

Timestomp

Adversaries may modify file time attributes to hide new files or changes to existing files. Timestomping is a technique that modifies the timestamps of a file (the modify, access, create, and change times), often to mimic files that are in the same folder and blend malicious files with legitimate files.

T1205

Traffic Signaling

Adversaries may use traffic signaling to hide open ports or other malicious functionality used for persistence or command and control. Traffic signaling involves the use of a magic value or sequence that must be sent to a system to trigger a special response, such as opening a closed port or executing a malicious task. This may take the form of sending a series of packets with certain characteristics before a port will be opened that the adversary can use for command and control. Usually this series of packets consists of attempted connections to a predefined sequence of closed ports (i.e. Port Knocking), but can involve unusual flags, specific strings, or other unique characteristics. After the sequence is completed, opening a port may be accomplished by the host-based firewall, but could also be implemented by custom software.

T1497.001

System Checks

Adversaries may employ various system checks to detect and avoid virtualization and analysis environments. This may include changing behaviors based on the results of checks for the presence of artifacts indicative of a virtual machine environment (VME) or sandbox. If the adversary detects a VME, they may alter their malware to disengage from the victim or conceal the core functions of the implant. They may also search for VME artifacts before dropping secondary or additional payloads. Adversaries may use the information learned from Virtualization/Sandbox Evasion during automated discovery to shape follow-on behaviors.

T1497.003

Time Based Evasion

Adversaries may employ various time-based methods to detect and avoid virtualization and analysis environments. This may include enumerating time-based properties, such as uptime or the system clock, as well as the use of timers or other triggers to avoid a virtual machine environment (VME) or sandbox, specifically those that are automated or only operate for a limited amount of time.

T1622

Debugger Evasion

Adversaries may employ various means to detect and avoid debuggers. Debuggers are typically used by defenders to trace and/or analyze the execution of potential malware payloads.

TA0007

Discovery

The adversary is trying to figure out your environment. Discovery consists of techniques an adversary may use to gain knowledge about the system and internal network. These techniques help adversaries observe the environment and orient themselves before deciding how to act. They also allow adversaries to explore what they can control and what's around their entry point in order to discover how it could benefit their current objective. Native operating system tools are often used toward this post-compromise information-gathering objective.

T1049

System Network Connections Discovery

Adversaries may attempt to get a listing of network connections to or from the compromised system they are currently accessing or from remote systems by querying for information over the network.

T1497.001

System Checks

T1497.003

Time Based Evasion

T1518

Software Discovery

Adversaries may attempt to get a listing of software and software versions that are installed on a system or in a cloud environment. Adversaries may use the information from Software Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.

T1622

Debugger Evasion

Adversaries may employ various means to detect and avoid debuggers. Debuggers are typically used by defenders to trace and/or analyze the execution of potential malware payloads.

TA0011

Command and Control

The adversary is trying to communicate with compromised systems to control them. Command and Control consists of techniques that adversaries may use to communicate with systems under their control within a victim network. Adversaries commonly attempt to mimic normal, expected traffic to avoid detection. There are many ways an adversary can establish command and control with various levels of stealth depending on the victim's network structure and defenses.

T1095

Non-Application Layer Protocol

Adversaries may use an OSI non-application layer protocol for communication between host and C2 server or among infected hosts within a network. The list of possible protocols is extensive. Specific examples include use of network layer protocols, such as the Internet Control Message Protocol (ICMP), transport layer protocols, such as the User Datagram Protocol (UDP), session layer protocols, such as Socket Secure (SOCKS), as well as redirected/tunneled protocols, such as Serial over LAN (SOL).