Google Redirect Virus

Il Google Redirect Virus è in circolazione da un po 'di tempo ed è conosciuto da molti alias, sebbene il comportamento principale rimanga costante. Fondamentalmente, il Google Redirect Virus gioca brutti scherzi alle menti degli utenti di PC che desiderano ricerche sul Web di Google reindirizzandoli casualmente a pagine Web o motori di ricerca dannosi.

Il Google Redirect Virus rende le ricerche online inefficaci e pericolose

Il Google Redirect Virus (GRV) sta frustrando gli utenti di Internet da diversi anni, ma sembra che non esista ancora un metodo efficace per evitare l'infezione. In effetti, è persino diventato uno dei più gravi problemi di sicurezza informatica del nostro tempo a causa della grande popolarità del motore di ricerca di Google che consente agli aggressori di raggiungere un gran numero di potenziali vittime. Il malware colpisce i sistemi operativi Windows, MacOS e Linux, mentre recentemente sono emerse anche versioni di Google Redirect Virus per dispositivi mobili.

Una ricerca approfondita mostra che non esiste solo una particolare minaccia chiamata Google Redirect Virus, il nome comprende piuttosto una serie di infezioni e problemi che interessano i browser più diffusi con il risultato comune di reindirizzare l'utente a pagine Web dannose attraverso risultati di ricerca falsi. Il malware GRV è anche noto come "Chrome Redirect Virus", "Google Virus", "Yahoo Redirect Virus" e "Bing Redirect Virus". Sono state identificate anche versioni più recenti, note come "Happilli Redirect Virus" e "Nginx Redirect virus".

Il sintomo più ovvio di un'infezione di tipo GRV è che tutte le ricerche di un utente su Google vengono reindirizzate ad alcuni domini sconosciuti o ombreggiati o a pagine di altri motori di ricerca che potrebbero avere contenuti dannosi. Gli utenti che hanno il GRV sui loro computer sperimenteranno il reindirizzamento a siti Web non correlati o fastidiosi quando fanno clic su uno dei risultati della loro ricerca su Google, indipendentemente dal browser che utilizzano. Pertanto, le principali funzionalità di Google Redirect Virus non sono cambiate negli anni e attraverso le diverse versioni, così come le intenzioni dei suoi autori il cui obiettivo principale è quello di fare soldi incrementando artificialmente le visite alle proprie pagine web e le visualizzazioni degli annunci visualizzati su di essi.

Tutte le posizioni verso le quali la minaccia reindirizza le sue vittime sono pericolose poiché costringono l'utente ad acquistare software dannoso o possono contenere script che installano direttamente malware o PUP sul dispositivo dell'utente. Un chiaro segno che un PC è stato infettato dal virus Google Redirect è che l'utente viene reindirizzato più volte da collegamenti sicuramente legittimi, come ebay.com o Facebook. I programmi di reindirizzamento come GRV raccolgono anche informazioni sulle abitudini di navigazione degli utenti e sui termini di ricerca comuni, oltre a inserire annunci indesiderati all'interno dei risultati di ricerca.

Il Google Redirect Virus interrompe le prestazioni generali del tuo PC

Google Redirect Virus non solo dirotterà il tuo browser, ma anche l'intero sistema sarà gravemente compromesso in modo che potresti riscontrare alcuni dei seguenti sintomi:

• Richieste impreviste di riattivazione dei driver
• Le applicazioni non funzionano correttamente
• Una home page modificata del browser predefinito
• Componenti hardware o driver non funzionanti
• Sistema che si blocca o rallenta
• Nuove icone aggiunte o icone mancanti dal desktop

Un altro possibile effetto collaterale è che l'utente viene aggredito con pubblicità, finestre pop-up o avvisi di sicurezza. L'improvvisa comparsa di scansioni antivirus non richieste che si esauriscono dal nulla e avvisano l'utente di una minaccia malware inesistente rilevata sul suo PC è in serbo anche per i sistemi infettati da GRV. Quest'ultimo trucco è il comportamento tipico di un programma di sicurezza canaglia che tenta di indurre l'utente ad acquistare alcuni falsi software AV e, rispettivamente, a fornire i dati della propria carta di credito.

A prima vista, il virus Google può essere classificato come un dirottatore del browser poiché modifica le impostazioni del browser infetto e provoca una navigazione in Internet complessivamente lenta e inefficace. Ricerche più recenti mostrano, tuttavia, che questo malware può causare danni più gravi ai computer infetti rispetto ai soli problemi di reindirizzamento e alle fastidiose pubblicità.

Non un virus, ma un rootkit

Nonostante il suo nome, un GVR non è in realtà un virus ma un Trojan con capacità di rootkit. La scoperta è stata fatta qualche tempo fa dopo che i ricercatori hanno rilevato un nuovo programma dannoso associato al Google Redirect Virus, noto come Backdoor.Tidserv. Da allora, si ritiene che il GRV sia una versione del rootkit TDSS che si pone in cima a un driver di sistema dove non può essere rilevato e rimosso. Pertanto, qualsiasi forma di Google Redirect Virus esegue comandi dannosi e impiega sofisticate tecniche di programmazione per nascondere i suoi file dai radar del software antivirus, rendendo l'infezione molto pericolosa, difficile da rilevare e particolarmente difficile da rimuovere.

In quanto malware di tipo rootkit, GRV è in grado di ottenere un accesso privilegiato al computer infetto. Quindi, esegue gli script di reindirizzamento nei risultati di una normale ricerca su Google in modo che l'utente venga reindirizzato a siti Web di terze parti quando fa clic sui risultati della ricerca. Una caratteristica caratteristica dei rootkit è che utilizzano i livelli inferiori del sistema operativo, come il reindirizzamento della funzione API, che li rende davvero difficili da rilevare. I rootkit possono anche fare in modo che il sistema infetto nasconda all'utente i file esistenti e i processi in esecuzione, visualizzando allo stesso tempo cose inesistenti. Un'ulteriore possibilità è scaricare minacce aggiuntive, come ad esempio i trojan.

I rootkit sono estremamente difficili da rimuovere e si integrano nel cuore del sistema operativo. Il Google Redirect Virus altera il Master Boot Record (MBR) e crea una propria partizione su di esso in modo che sia necessaria una speciale tecnica anti-rootkit per trovare la posizione e questo è possibile solo quando il sistema operativo non è in esecuzione. Inoltre, il malware modifica i file principali di Windows per ricevere ed eseguire comandi dagli aggressori mentre allo stesso tempo questi file non sembrano interessati poiché continuano a funzionare normalmente. La rimozione completa del virus di reindirizzamento di Google di solito non è possibile senza uno strumento di rimozione professionale.

Il Google Redirect Virus si intrufola nei PC attraverso molti canali diversi

GRV può essere fornito in bundle all'interno di freeware legittimi, shareware, un codec necessario per visualizzare un film o qualsiasi altra applicazione che un utente installa deliberatamente senza sapere che il pacchetto include anche componenti aggiuntivi pericolosi. I plug-in sono un altro possibile mezzo di distribuzione del malware, tuttavia, il modo preferito di diffondersi dai rootkit è attraverso i cavalli di Troia. In genere, i trojan arrivano su un PC quando l'utente apre un allegato e-mail dannoso o visita pagine Internet compromesse. Tutti questi canali di distribuzione sfruttano l'ignoranza degli utenti riguardo alla sicurezza in Internet, consistente nell'installazione cieca di file e programmi senza conoscerne l'origine.

Indulgere in una delle seguenti attività può spiegare in che modo il PC di un utente è stato infettato dal Google Redirect Virus:

• Facendo clic su collegamenti sospetti e visitando siti Web non attendibili su Internet
• Apertura di allegati e-mail da mittenti sconosciuti o clic sui collegamenti incorporati in tali e-mail
• Download di freeware, shareware o qualche tipo di software compromesso o musica e film piratati da fonti o reti dubbie
• Visitare siti Web noti per contenere contenuti pericolosi e dannosi, come giochi a distanza, giochi o pagine Web per adulti
• Non installare un'applicazione anti-malware affidabile sul computer o averne una con una licenza scaduta e una base di definizioni obsolete

Dettagli tecnici del Google Redirect Virus

Poiché Google Redirect Virus è un rootkit, ha la capacità di rimanere nascosto all'interno del disco rigido della macchina infetta per lunghi periodi di tempo, da dove monitora il comportamento online dell'utente e le abitudini di navigazione in Internet. Allo stesso tempo, il virus non dà alcun segno riconoscibile della sua presenza. Per identificare un GRV su un computer, l'utente dovrebbe cercare i seguenti processi che i ricercatori ritengono essere associati al malware:

Xzagua.exe
Dmgsh.exe
Xwo.exe
C: \ WINDOWS \ Xzagua.exe
Xwk.exe

Le tracce dannose di GVR possono essere trovate anche nel registro come le seguenti chiavi di registro:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ UACd.sys
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ 4DW4R3
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ _VOIDd.sys
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ _VOID

I DDL e altri file noti per essere correlati al malware sono:

C: \ WINDOWS \ system32 \ UAC.dll
C: \ WINDOWS \ SYSTEM32 \ 4DW4R3c.dll
C: \ WINDOWS \ system32 \ _VOID.dll
C: \ Documents and Settings \ All Users \ Application Data \ _VOIDmainqt.dll
C: \ WINDOWS \ SYSTEM32 \ 4DW4R3.dll
C: \ WINDOWS \ system32 \ uacinit.dll
C: \ Windows \ System32 \ wdmaud.sys
TDSSserv.sys
C: \ WINDOWS \ _VOID \
C: \ WINDOWS \ system32 \ uactmp.db
C: \ WINDOWS \ _VOID \ _VOIDd.sys
C: \ WINDOWS \ system32 \ UAC.db
C: \ WINDOWS \ system32 \ _VOID.dat
C: \ WINDOWS \ system32 \ drivers \ _VOID.sys
C: \ WINDOWS \ system32 \ drivers \ UAC.sys
C: \ WINDOWS \ SYSTEM32 \ DRIVERS \ 4DW4R3.sys
C: \ WINDOWS \ SYSTEM32 \ 4DW4R3sv.dat
C: \ WINDOWS \ SYSTEM32 \ DRIVERS \ 4DW4R3.sys
C: \ WINDOWS \ Temp \ _VOIDtmp
% Temp% \ UAC.tmp
C: \ WINDOWS \ system32 \ UAC.dat
% Temp% \ _ VOID.tmp
C: \ WINDOWS \ Temp \ UAC.tmp

Di seguito è riportato uno schema generale delle azioni eseguite da Google Redirect Virus su un PC infetto:

Modifica il registro di sistema in modo che l'eseguibile del malware venga eseguito a ogni avvio. Il malware sceglie a caso il nome di quel file dannoso ed è diverso ogni volta in modo che non possa essere riconosciuto dai ricercatori della sicurezza informatica
Rilascia un file .TMP nella cartella temporanea. Questo file ha anche un nome casuale e, in seguito, installa altri componenti dannosi.
Il file .TMP si registra come servizio legittimo per aggirare il firewall ed evitare i motori di scansione AV. Lo ottiene copiando un file .dll legittimo e infondendolo con il proprio script, costringendo così il file interessato a caricare il file .TMP dannoso.
Il malware quindi sfrutta le vulnerabilità nell'elenco delle DLL di Microsoft Windows aggiungendo il file .dll "modificato" e caricandolo nella memoria insieme agli altri file legittimi.

Una volta caricato, il file .TMP dannoso crea un altro file con nome casuale nella cartella "driver" del PC, di solito un file con estensione .sys. Questo file casuale è il componente che nasconde tutti i file e i codici dannosi del malware all'utente e agli strumenti di rilevamento del malware.
Una volta che il file .sys casuale viene distribuito, rilascia un file .dll nella cartella di sistema e questo file viene quindi iniettato nell'eseguibile SVCHOST che, a sua volta, scarica più componenti dannosi dai server degli hacker. Sono questi file di configurazione che aiutano gli aggressori a fare quanto segue:

• Impedisci l'esecuzione di programmi o applicazioni, soprattutto se minacciano i processi del malware
• Account di posta elettronica contraffatti e persone spam nell'elenco dei contatti della vittima
• Visualizza o attiva finestre pop-up e annunci
• Eseguire trasferimenti HTTP (ovvero, per inviare o ricevere nuove trasmissioni)
• Ordina attacchi DNS
• Scarica altri programmi dannosi come:

1. Keylogger Trojan che può rubare dati vitali dalla cache o direttamente dai moduli basati sul web
2. Backdoor Trojan in grado di sfruttare strumenti di assistenza remota per utilizzare segretamente il PC infetto
3. Dirottatore di Trojan che può modificare i file host del computer e reindirizzare le ricerche web a siti Web dannosi o indesiderati
4. Contagocce Trojan che può rilasciare più componenti o programmi dannosi sul PC

Siti Web associati a Google Redirect Virus

Alcune delle pagine Web sospette a cui è noto che Google Redirect Virus collega includono motori di ricerca discutibili (come search.babylon.com), siti Web per adulti (come livejasmin.com) e servizi di supporto pubblicità (come adf.ly). L'elenco completo dei siti Web associati al malware include:

Search.babylon.com, scour.com, blinkx.com, Worldslife.com, Blendersearch.com, Bodisparking.com, coolsearchserver.com, webplains.net, find-fast-answers.com, search-netsite.com, toseeka.com, AboutBlank, La.vuwl.com, 10-directory.com, 63.209.69.107, 67.29.139.153, 7search.com, adorika.com, adf.ly, admarketplace.com, alive-finder.com, alltheservices.com, articlemule.org, asklots.com, ave99.com, b00kmarks.com, background-sleuth.net, bargainmatch.com, beoo.com, bestdiscountinsurance.com, bestsearchpage.com, bestclicksnow.com, bestmarkstore.com, bestwebchoices.com, bestwebsearch.com, bidsystem.com, secure.bidvertiser.com, britewallet.com, budgetmatch.net, buzzclick.com, celebrity-gossip.net, cheapstuff.com, citysearch.com, clicksor.com (Clicksor), clkads.com, feed.clickbizz.com, comparedby.us, comparestores.net, couponmountain.com, digitaltrends.com, easilyfindlocal.com, everythinghere.com, evoplus.com, expandsearchanswers.com (expand search answers), fastfinder.com, feedsmixer.org (starFeedsMixer), find-quick-results.com, FilesCup.com (FilesCup), findexmark.com, find-answers-fast.com, Zinkwink.com, us-srch-system.com, finditreport.com, findology.com, finderquery.com, findstuff.com, flurrysearch.com, forless.com, gimmeanswers.org, glimpse.com, google-redirect.com, googlesearchserver.net, get-search-results.com, goingonearth.com, goodsearch.com, gomeo.co.uk, gossipcenter.com, gquestionnaire.com, greatsearchserver.com, greenluo.com, grooveswish.com, guide2faucets.com, happili.com, HelloLocal.com, hyperpromote.com, informationgetter.com, inruo.com, jerseyscatalog.com, juggle.com, k100searches.com, YouPorn, liutilities.com, livejasmin.com (creative.livejasmin.com popups), local-search-pages.com, localpages.com, localsearchbug.com, lowpriceshopper.com, manufacturersdirectory.com, multifind24.com, mybestclick.net, mycustomsearch.cn, mydealchoices.com, mydealmatch.com, mylocalhero.com, neatsales.com, neatsearchserver.com (neat search server ZeroAccess rootkit), netsearchfinder.com, netshoppers.com, nexplore.com, privacycheck.ru, Pulse360.com, qooqle.com, questyes.com, quick-search-results.com, quick-suggest.com, redirectsite.net, results5.google.com, safecompare.com, saveandcoupon.com, savecompare.com, savingwithads.com, scoursearch.net, search-redirector.com, searchforall.info, searching4all.com, search-results.com (int.search-results.com), searchbacon.com, searchdiscovered.com, searchqu.com, searchqualitysites.com, searchnext.com, searchspice.com, shopcompare.net, shopcompareus.com, shopfinded.com, shopica.com, shopica.com/search, shopzilla.com, socialsurvey2011.info, Social Search Redirect, Search-netsite.com, kitchenrenopages.com, kingtopsearch.net, kiseek.com, lawyerinsight.org, letsbuystuff.com, njksearc.net, qooqlle.com, Storeordersonline.com, somesearchsystem.com, startnow.com, startsearcher.com, supersearchserver.com, TabDiscover.com, tazinga.com (tazinga!), theifinder.com, Thewebtimes.com, Marveloussearchsystem.com, merchantsnearby.com, monstermarketplace.com, mooter.com, TheTop10.com, tubedownloader.com, theyellowpages.com, theyellowpagez.com, topdaodrugs.com, tubedownloader.com, Therelatedsearch.com, unblock-us.com, valueapproved.com, vshare.toolbarhome.com (vShare), vehiclefind24.com, whatcarefreefeelslike.com,weeklycontestwinner.org, weeklyusa-winner.com, webshoppinghelper.com, webresults6.org, yellowmoxie.com, search.yellowise.com, ylwbook.addresses.com, youfindmore.com e Zwankysearch.com.

Non tutti i malware ne annunciano la presenza, ma a meno che tu non abbia modificato il tuo file host, puoi essere certo di avere un browser hijacker o Google Redirect Virus quando le tue richieste di ricerca ti indirizzano forzatamente a siti Web indesiderati. I cybercriminali creano malware per multi-task e ottengono uno o più payload. I siti web stranieri possono includere collegamenti che producono residui pay-per-click (PPC) non guadagnati da cybercriminali o potrebbero contribuire a promuovere un programma di sicurezza canaglia.

Google Redirect Virus ha caratteristiche di rootkit, il che significa che potrebbe non essere rilevato da molte applicazioni. Si può dire che Google Redirect Virus sia molto simile ai parassiti e alle false applicazioni di sicurezza note come Alureon, Windows Necessary Firewall e persino Fast Windows Antivirus 2011.

Più a lungo si tollera la presenza di un Google Redirect Virus sul computer, maggiore è il rischio di gravi danni ai dati e al sistema poiché questi programmi dannosi utilizzano molte risorse e potrebbero portare a un arresto completo del sistema. Pertanto, non dovresti perdere tempo, lasciando che gli hacker rubino le tue informazioni personali e distruggano il tuo computer. Acquista invece un programma anti-malware affidabile in grado di scavare nella radice del tuo sistema per trovare e cancellare tutte le tracce del virus di reindirizzamento di Google.

Nel frattempo, ti consigliamo di disconnettere il tuo dispositivo da Internet per evitare nuove trasmissioni di dati a un server remoto. È inoltre necessario utilizzare un PC privo di malware per modificare i dati di accesso e le credenziali di sicurezza per tutti gli account online.

Il malware sfrutta le vulnerabilità trovate nel software o nell'hardware o trae vantaggio dal comportamento umano e dall'ignoranza nell'esecuzione delle pratiche di sicurezza in Internet. Quindi, se tu o qualcuno che utilizza il tuo PC ti concedessi uno dei seguenti, potrebbe spiegare come il tuo PC è stato infettato dal virus di reindirizzamento di Google.

1. Hai preso le tue possibilità e hai deciso di non installare uno strumento anti-malware affidabile.
2. Hai installato uno strumento anti-malware ma ti sei sentito a tuo agio e non l'hai rinnovato.
3. Sei stato attratto dal fare clic su un collegamento dubbio di qualche suicidio online o
   bufala celebrità.
4. Sei stato inviato come spam perché non hai verificato l'origine di quell'allegato o collegamento di posta elettronica da
   la tua famiglia o un amico, i cui account sono stati sequestrati da un criminale informatico.
5. Ami la parola musica o film gratuiti e piratati.
6. Ami il freeware e lo shareware e hai scaricato un codec infettivo per visualizzare un film o un video.
7. Ti piace visitare siti porno, siti di giochi o warez e sei stato infettato.

Combattere il malware a breve e lungo termine significa comprenderne la struttura e le intenzioni dannose. Di seguito è riportato uno schema generale di ciò che è in serbo per i PC che ospitano il Google Redirect Virus:

• Trojan ottiene un accesso ingannevole sfruttando le vulnerabilità nell'hardware, nel software o nel buon vecchio comportamento umano e nelle pratiche di sicurezza Internet deboli.
• Modifica il registro di sistema e crea una voce in modo che il suo eseguibile con nome casuale (fatto per mantenere indovinato la comunità della sicurezza Internet) venga eseguito ad ogni avvio.
• Rilascia un file .TMP nella cartella temporanea e questo file installa altri componenti dannosi.
• Il file .TMP (con nome casuale) si registrerà come servizio legittimo (aggirando così il firewall ed eludendo gli sforzi di AVG) copiando un file .dll legittimo e infondendolo con il suo script velenoso per caricare il suo file .TMP dannoso.
• Quindi sfrutta le vulnerabilità nell'elenco delle DLL di Microsoft Windows aggiungendo il file .dll "modificato" e caricandolo in memoria insieme agli altri file "legittimi".
• Una volta caricato, il velenoso file .TMP crea un file con nome casuale nella cartella "driver" (solitamente con estensione .sys). Questo file casuale è il componente che nasconde tutti i suoi file e programmi dannosi da occhi indiscreti (il tuo e il radar AVG).
• Una volta che il file .sys casuale è stato distribuito, rilascia un file .dll nella cartella "sistema" e questo file viene quindi iniettato nell'eseguibile SVCHOST, che scarica altri componenti dannosi da Internet. Sono questi file di configurazione che aiutano un hacker a fare quanto segue:
  a. Eseguire trasferimenti HTTP (ovvero per inviare o ricevere nuove trasmissioni)
  b. Visualizza o attiva annunci pop-up
  c. Impedisci l'esecuzione di programmi o applicazioni, in particolare quelli che minacciano attacchi dannosi.
  d. Imposta il ritardo del comando
  e. Ordina attacchi DNS
  f. Account di posta elettronica contraffatti e persone spam nell'elenco dei contatti
  g. Scarica altri programmi dannosi come:
  i.  Trojan keylogger = ruba dati vitali dalla cache o direttamente da moduli basati sul web
  ii. Trojan backdoor = sfrutta lo strumento di assistenza remota per utilizzare segretamente il tuo PC
  iii. Trojan hijacker = modifica i file host e reindirizza le ricerche web a siti Web dannosi o indesiderati
  iv. Trojan dropper = rilascia più componenti o programmi dannosi nel tuo PC

Oltre al Google Redirect Virus che dirotta il tuo browser, il tuo sistema potrebbe essere danneggiato e potresti notare quanto segue:

• Malfunzionamento della tastiera
• Windows richiederà inaspettatamente la riattivazione dei driver
• Il sistema funziona lentamente o si blocca
• Le applicazioni non vengono eseguite correttamente
• La home page è stata modificata o il browser ti reindirizza a siti Web indesiderati
• Icone aggiunte o mancanti e hardware o driver non funzionanti

Più a lungo permetti al Google Redirect Virus di manifestarsi, maggiore è il rischio o la minaccia per i tuoi dati e il tuo sistema, poiché questi programmi dannosi utilizzano molte risorse e potrebbero causare un arresto anomalo del sistema.

Tuttavia, non sorprenderti se vieni aggredito da annunci pop-up o allarmi spaventosi e falsi avvisi, o se un'interfaccia dall'aspetto elegante appare dal nulla ed esegue una scansione non autorizzata. Questo è il comportamento tipico di un programma di sicurezza canaglia, una truffa ben utilizzata utilizzata per spaventare gli utenti di PC facendogli consegnare ciecamente la carta di credito e il numero di instradamento della banca per acquistare un software inutile. Non fidarti mai di nessun programma che si carica da solo, esegue una scansione non autorizzata o dirotta il tuo browser.

Non perdere tempo e non lasciare che qualche hacker rubi le tue informazioni personali. Combatti il fuoco con il fuoco utilizzando uno strumento anti-malware affidabile in grado di scavare nella radice del tuo sistema e trovare tutte le tracce del Google Redirect Virus.

Nel frattempo, disconnetti Internet per interrompere qualsiasi nuova trasmissione di dati a un server remoto. Accedi a un PC privo di malware e modifica i tuoi dati di accesso e le credenziali di sicurezza per i tuoi account online.

SpyHunter rileva e rimuove Google Redirect Virus