Vendor Adware selalu mengunakan cara-cara baru untuk memasukkan iklan atau membajak homepage browser pengguna komputer. Belum lama ini muncul sebuah varian baru Youndoo pembajak browser yang menggunakan DLL Hijacking untuk membajak browser homepage.
Pembajak browser Youndo menyusup masuk melalui free software yang diunduh melalui internet. Ketika diinstal ia akan mengatur homepage dan mesin pencari menjadi browser web Anda untuk http://www.youndoo.com.
Homepage Youndo.com masuk ke dalam komputer setelah Anda menginstal freeware software yang dibundel dalam instalasi mereka. Dan biasanya software gratis tidak menyertakan informasi adanya software lain yang akan ikut terinstal sehingga pengguna tidak akan menyadari telah menginstal program jahat tanpa sepengetahuannya.
Misal, untuk menginstal VLC Player, Anda harus menyetujui untuk mengubah homepage browser dan mesin pencarian default untuk Youndoo.com. Namun saat VLC Player di uninstal dari komputer Anda, pengaturan default browser web Anda tidak akan dikembalikan seperti semula, yang artinya Anda harus menghapus homepage Youndo.com dari browser web favorit Anda secara manual.
Cara Kerja Youndoo
Ketika executable Chrome dan Firefox dijalankan, mereka akan mencoba memuat file Windows legitimate C:\Windows\System32\wtsapi32.dll yang memungkinkan program untuk menggunakan fungsi yang tersimpan dalam DLL.
Pengembang malware Youndoo mengeksploitasi ini dengan menempatkan versi file Windows berbahaya wtsapi32.dll di folder yang sama dengan executable browser Firefox dan Chrome.
Ketika executable memuat DLL, Windows pertama akan mengecek di direktori executable dalam file DLL yang ditentukan, dan jika ditemukan, ia akan memuatnya dari sana. Karena Youndoo telah menempatkan malicious DLL dengan nama yang sama dalam folder browser, browser akan memuat versi tersebut daripada file legitimate, ini yang disebut DLL Hijacking.
Saat Chrome dan Firefox dimuat, fungsi wtsapi32.dll DLL dalam Youndoo akan membaca URL dalam Registry value HKEY_CURRENT_USER\Software\MessageGet “hp”. hp atau homepage, value berisi URL yang membuat DLL akan menyebabkan browser terbuka secara otomatis.
Jika nilai hp diubah untuk setiap url lain, browser akan membuka untuk url. Untuk menghentikan pengalihan, yang harus dilakukan adalah menghapus value atau nilai registri hp dan browser akan membuka ke halaman default. Sedang untuk menghapus infeksi Anda harus menghapus file wtsapi32.dll dari folder browser serta melakukan pemindaian untuk file terinstal lain.
Untuk Chrome, Youndoo.com juga menggunakan berbagai entri Registry lain untuk membajak browser bahkan setelah membersihkan shortcut atau mengubah setelan homepage. Misalnya, pembajak browser ini menambahkan HKLM\SOFTWARE\Wow6432Node\Policies\\Google Chrome\HomepageLocation dan HKLM\SOFTWARE\Wow6432Node\Policies\Google\Chrome\RestoreOnStartupURLs\1 kebijakan registri yang secara otomatis akan membuka Chrome http://www.youndoo.com situs bahkan jika shortcut dibersihkan sekalipun karena homepage Anda kemudian akan diatur ke lokasi lain.
Program Adware dan PUP sering lolos dari perhatian pengguna, karena biasanya mereka masuk tanpa sepengetahuan, dan meskipun perilaku yang ditunjukkan mereka seperti malware tetapi masih banyak perusahaan antivirus tidak dapat mendeteksi. Malware Youndoo dalam deteksi antivirus ESET dikenali sebagai Win32/Youndoo.com.
Tindakan Pencegahan
Untuk mencegah infiltrasi malware Youndo ke dalam komputer, pengguna harus berhati-hati saat melakukan instalasi software, karena seringkali installer software menyertakan instalasi opsional seperti Youndoo.com, jadi perhatikan baik-baik setiap kali menyetujui setiap penginstalan.
Selalu memilih untuk instalasi secara kustom dan jangan centang pilihan instalasi lain yang tidak Anda kenali. Tidak perlu menginstal software yang memang tidak pernah ingin Anda instal dan biasakan menginstal dari sumber terpercaya seperti play store.
Dan yang terakhir dan paling penting yaitu menggunakan antivirus yang terpercaya dan handal sebagai palang pintu terakhir keamanan komputer yang Anda gunakan. Pastikan antivirus yang digunakan memiliki fitur memblok Potentially Unwanted Application (PUA).
Sumber berita:
www.bleepingcomputer.com
malwaretips.com
