来自Malwarebytes的安全研究人员偶然发现一款名为WebSearcher的新型PUP(有害程序),它偷偷控制了IE、Chrome、火狐的代理服务器设置,并且阻止用户进行更改。
Websearcher通过通用名称为VideoCodex以及Video Player等应用程序进行传播,并且通过运行(本地)代理服务器来分析用户的网络流量随后再偷偷在合法网站中插入广告。WebSearch之所以特别(或者说让人烦)的原因在于这个广告软件会更改浏览器中的代理服务器设置,它使用的是注册密钥和其它技巧而不是真正的设置面板。当用户访问设置面板时,用户会发现不标准的值,但却无法更改(IE截图如下)。
而删除这个劫持性代理服务器设置的唯一方法是将其删除。WebSearch的内部工作原理是利用其它合法应用程序FiddlerWeb调试工具库使用的两个库即 FiddlerCore.dll 和FiddlerCoreWrapper.dll文件。而这个工具正是Malwarebyes用来调试恶意软件行为的工具。除此之外,WebSearcher还使用Fiddler的“DO_NOT_TRUST_FidderRoot”根证书。Malwarebytes建议用户将其删除直到摆脱了WebSearcher的感染。将根证书遗留在一个PUP手中或许不是好事,因为它可能会被用来安装其它有害应用程序。