近日,安全專家發(fā)現一款稱為eFast 瀏覽器的新惡意軟件。該惡意軟件從表面上看起來很像谷歌瀏覽器,但它會執(zhí)行刪除Chrome瀏覽器的操作,然后自我安裝替代Chrome瀏覽器,并將自身設置為默認瀏覽器。之后,當你打開“瀏覽器”時,該惡意軟件會將植入的廣告推送給你。
eFast,會將自己偽裝成接近Google Chrome的樣子(如果不仔細看的話),然后控制用戶的系統(tǒng)。該惡意軟件會在你打開“瀏覽器”的時候,為你播放它植入的廣告,并記錄你的活動情況,然后將獲取的數據轉賣給第三方公司。
eFast的目標
防惡意軟件公司Malwarebytes 的安全專家稱:
“這個惡意軟件刪除Google Chrome,通過自行安裝來替代Google Chrome,并設置成為用戶的默認瀏覽器,而這并不是該惡意軟件的目標。下一步,該惡意軟件設置它自身為打開多種文件格式的默認程序,如html, .jpg, .gif, .pdf 以及網頁鏈接等。”
截止到目前為止,安全專家發(fā)現影響的文件格式有:HTM、HTML、SHTML、XHTML、XHT、WEBP、PNG、JPG、JPEG、GIF 以及 PDF等。
此外,eFast也會將下述協議鏈接的url設置為由 eFast默認打開:HTTP、HTTPS、FTP、IRC、MAILTO、MMS、SMS、SMSTO、TEL、NEWS、NNTP、URN 以及 WEBCAL等。
實際上,eFast也是基于開源的Chromium項目進行開發(fā)的,所以它跟Chrome是很接近的。由此,也欺騙了眾多的用戶。
為何eFast選擇替換Chrome?
細細想來,這也挺奇怪的,為何現在替換一個瀏覽器會比感染一個瀏覽器來得容易?其實這是因為谷歌當前采取了措施,通過代碼審查和代碼簽名的方式對Chrome的擴展插件進行鎖定。所以,感染難度及成本加大,反倒不如重新替換一個。
經過分析,eFast 瀏覽器惡意軟件在執(zhí)行的過程中,也會刪除 Google Chrome的所有快捷方式,并替換成它自己的,而這些快捷方式也都指向該惡意軟件的啟動程序。
如何發(fā)現以及刪除eFast?
1、為了識別 eFast,用戶需要檢查清楚設置, 如果是安裝了eFast的話,用戶可以在菜單的進入頁面上,看到關于“about eFast”等信息(也可以在地址欄上輸入 “chrome://chrome”進行查看)
2、如果在電腦上發(fā)現eFast惡意軟件,用戶可以進入到安裝程序列表,將“eFast 000.110010107”程序卸載。
最后建議用戶盡可能安裝可信來源的程序。