Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

BitGuard: system wymuszonego wyszukiwania

Tagi:

W zeszłym roku wielu użytkowników musiało zmagać się z niezwykle agresywnym wielokomponentowym systemem, który - chociaż technicznie wyposażony w narzędzie do dezinstalacji – jest niezwykle trudny do całkowitego usunięcia bez profesjonalnej pomocy. Jest to BitGuard – system, którego celem jest zmiana strony głównej i wyników wyświetlanych przez wyszukiwarkę.  

BitGuard to szkodliwy system, który bez wiedzy użytkownika modyfikuje ustawienia przeglądarki, posiada funkcjonalność dwóch rodzin trojanów: Inject (wstrzykuje swój kod do procesów aplikacji trzecich) oraz StartPage (zmienia strony startowe przeglądarki i strony wyszukiwania), oraz funkcjonalność trojana downloadera (pobiera szkodliwe pliki z internetu).  

Dla wygody w artykule stosujemy nazwę jednego z modułów wykonywalnych – BitGuard – jako nazwę ogólną całej rodziny programów i modułów, które wykazują podobne zachowanie.    

BitGuard jest rozprzestrzeniany wraz z paskami wyszukiwania (MixiDJ, Delta Search, Iminent, Rubar itd.), których właściciele otrzymują wynagrodzenie, jeśli użytkownicy klikną odsyłacze wyświetlone w zmodyfikowanych wynikach wyszukiwania. Uważamy, że BitGuard jest wykorzystywany przez kilka reklamowych programów  partnerskich jednocześnie.

Paski wyszukiwania

Jedną z niewłaściwych metod promowania stron internetowych jest wyświetlanie użytkownikom wyników wyszukiwania w taki sposób, aby promowane strony znalazły się na górze. W tym celu wykorzystywane są niestandardowe wyszukiwarki i specjalne dodatki do przeglądarek – paski wyszukiwania, które kierują użytkowników na strony z nietrafnymi wynikami wyszukiwania. Technika ta jest stosowana przez kilka programów partnerskich.     

Metoda ta działa w następujący sposób:

  • Najpierw tworzy się wyszukiwarkę oraz dodatek do przeglądarki z polem, do którego wprowadzane jest zapytanie wyszukiwania (pasek wyszukiwania).
  • Na serwerach dostawcy usług hostingowych umieszcza się instalator dla paska wyszukiwania, który może zostać pobrany przez instalatory w ramach programu partnerskiego.   
  • Użytkownik szuka, a następnie próbuje pobrać muzykę, oprogramowanie lub pliki wideo, jednak zamiast tego pobiera pośredni instalator należący do programu partnerskiego. Po wykonaniu pliku instalacyjnego zainstalowany zostaje pasek wyszukiwania (w niektórych przypadkach za zgodą użytkownika).   
  • Następnie użytkownik wprowadza szukaną frazę w polu tekstowym paska narzędzi i jest kierowany do strony z wynikami wyszukiwania, która jest powiązana z paskiem narzędzi.
  • Promowana strona jest wyświetlana na szczycie listy z wynikami wyszukiwania.
  • Użytkownik klika “płatny” odsyłacz i zostaje przekierowany na stronę reklamodawcy.
  • Właściciele paska wyszukiwania otrzymują wynagrodzenie.

Dodatkowo, na stronie wyników wyszukiwania może znajdować się płatne miejsce na reklamę, które stanowi dodatkowe źródło dochodów dla twórców wyszukiwarki. 

W zależności od programu partnerskiego paski narzędzi mogą być dystrybuowane na różne sposoby.

W większości przypadków wykorzystywane są do tego strony internetowe oferujące darmowe oprogramowanie – paski wyszukiwania mogą być dostarczane w połączeniu z fikcyjnym pakietem instalacyjnym lub legalnymi darmowymi programami.

Organizacja może stworzyć stronę internetową, która będzie służyć jako platforma wykorzystywana przez twórców darmowego oprogramowania i oprogramowania typu shareware do dystrybucji swoich aplikacji. Dla wszystkich aplikacji dystrybuowanych za pośrednictwem takiej strony wykorzystywany jest zwykle ten sam instalator. Zawiera on dodatek dla przeglądarki, który zostanie zainstalowany na maszynie użytkownika podczas instalowania aplikacji ze strony. W ten sposób właściciele platformy uzyskają prowizję od właścicieli sieci partnerskiej.   

W opisanej metodzie dystrybucji użytkownik pobiera instalator dla aplikacji i uruchamia proces instalacyjny. W niektórych przypadkach instalator pobiera legalne oprogramowanie, w innych imituje jedynie instalację przydatnego programu. W ramach procesu instalacji użytkownikowi oferuje się zainstalowanie paska narzędzi.    

Pasek wyszukiwania można również pobrać i zainstalować bezpośrednio – nie jako dodatek instalatora osób trzecich. Każdy webmaster może pobrać konstruktor paska narzędzi i skonfigurować dodatkową funkcjonalność. Gotowy pasek wyszukiwania jest umieszczany na stronie, skąd może zostać pobrany przez użytkowników. Webmaster otrzymuje wynagrodzenie od właścicieli sieci partnerskiej za każde pobranie paska narzędzi.      

Ponieważ w tym przypadku użytkownicy muszą samodzielnie pobrać pasek wyszukiwania, właściciele próbują przyciągnąć potencjalnych „klientów” przy pomocy atrakcyjnych stron, z których można pobrać pasek narzędzi, jak również obietnic dotyczących funkcjonalności paska narzędzi (łatwy w użyciu, niezawodny, „wysoki komfort wyszukiwania online”, „najlepsze, co ma do zaoferowania sieć” itd.).  

Instalacja paska narzędzi

Poniżej przedstawiamy proces instalacji paska narzędzi na przykładzie Delta Search Toolbar oraz Mixi.DJ. Oba należą do tego samego programu partnerskiego i często wykorzystują ten sam magazyn (zestaw serwerów) dla swoich komponentów. Paski narzędzi są dystrybuowane za pośrednictwem różnych stron internetowych, w tym mixi.dj i deltasearchtoolbar.loyaltytoolbar.com.    


browser_protect_pic01_auto.png
Pobieranie instalatora

Po uruchomieniu instalatora otwiera się okno instalacyjne.

browser_protect_pic02_auto.png
Okno instalatora Delta Search Toolbar

Aby zmniejszyć szanse pominięcia przez użytkownika instalacji dodatkowego oprogramowania, przycisk Skip jest mało widoczny:

browser_protect_pic03_auto.png
Okno instalatora Delta Search Toolbar

Interfejs instalatora Mixi.DJ (proporcje przycisków, czcionki, sekwencja instalacji) przypomina interfejs instalatora Delta Search, co sugeruje, że oba instalatory i paski narzędzi mogą mieć tego samego właściciela.   

browser_protect_pic04.png
Okno instalatora Mixi DJ

Jak widać, właściciele paska narzędzi stosują szereg różnych trików, aby skłonić użytkowników do zainstalowania oprogramowania na swoim komputerze.

Jednak oprogramowanie, które przekierowuje na strony nieoferujące niczego przydatnego, zostanie uznane przez użytkowników za niepotrzebne i usunięte. Z tego powodu paski narzędzi są dostarczane w połączeniu z modułami, których celem jest uniemożliwienie użytkownikowi zmodyfikowania ustawień przeglądarki po zainstalowaniu paska wyszukiwania. W ten sposób właściciele paska narzędzi sprawiają, że użytkownicy odwiedzają określone strony z promowanymi linkami – nawet jeśli sam pasek narzędzi został usunięty.      

Takim modułem jest BitGuard. Jego funkcją jest zmienianie konfigurowalnych adresów wykorzystywanych przez przeglądarkę (w tym adresów strony głównej i strony wyszukiwania) na adresy stron niepowiązanych wyników wyszukiwania zawierających odsyłacze do stron promowanych przy pomocy paska narzędzi.   

Instalacja systemu BitGuard

BitGuard może zostać pobrany przy pomocy dowolnego paska narzędzi związanego z programem partnerskim. Instalacja odbywa się przy użyciu jednego instalatora, przy czym jako pierwszy instalowany jest pasek narzędzi, a następnie BitGuard (w ramach tego samego procesu instalacyjnego).    

Użytkownik nie jest powiadamiany o tej akcji – BitGuard zostaje zainstalowany i uruchomiony bez jego wiedzy i zgody. Adres i nazwa folderu, w którym zainstalowane są komponenty, mogą różnić się za każdym razem (np. „BitGuard”, “Browser Defender”, “BProtect” itd.). 

Nazwa instalowanego pliku wykonywalnego zależy od instalatora oraz wersji paska narzędzi. Na przykład, Delta Search Toolbar uruchamia aplikację jako browserprotect.exe.  

Poniżej przedstawiono przykłady możliwych ścieżek do foldera aplikacji BitGuard: 

…\appdata\local\temp\nsv96a4.tmp\
…local settings\temp\nsi19.tmp\

Pakiet komponentów zwykle zawiera:

  • główny moduł wykonywalny (który może mieć jedną z następujących nazw: browserprotect.exe, bprotect.exe, bitguard.exe, browserdefender.exe itd.);
  • bibliotekę wykorzystywaną do wstrzykiwania kodu do innych procesów (browserprotect.dll, browserdefender.dll, bprotect.dll, bitguard.dll itd.);  
  • plik ustawień zawierający zaszyfrowane odsyłacze do docelowych stron wyszukiwania i pliki aktualizacji (BitGuard otrzymuje ustawienia z instalatora i zwykle odpowiadają one ustawieniom dla paska narzędzi zainstalowanego przez ten sam instalator); 
  • skrypty dla rozszerzeń dla przeglądarki Firefox lub Chrome (w zależności od wersji).

Biblioteka i moduł wykonywalny są podpisane podpisem “Performer Soft LLC” wydanym dla ForwardTech Inc. Podpis ten został już unieważniony i nie jest traktowany jako zaufany przez produkty antywirusowe firmy Kaspersky Lab.   

Moduł wykonywalny, po tym jak zostanie po raz pierwszy uruchomiony, instaluje siebie i powiązane komponenty w folderze Application Data. Plik exe może zmienić swoją nazwę na browserprotect.exe, browserdefender.exe lub inną, w zależności od wersji. To samo wykonuje z innymi komponentami:  

\browserprotect\2.6.1249.132\{ c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserprotect.exe
\browserprotect\2.6.1249.132\{ c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserprotect.dll
\browserprotect\2.6.1339.144\{ c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserprotect.settings

Warto wspomnieć, że oryginalne paski narzędzi można usunąć w standardowy sposób, natomiast BitGuard jest niezwykle trudny do odinstalowania bez pomocy dodatkowych narzędzi (takich jak produkt antywirusowy czy wyspecjalizowane narzędzie przeznaczone do usuwania niechcianych dodatków do przeglądarki). Działanie aplikacji nie zależy od obecności paska narzędzi w systemie. Z oryginalnym dodatkiem dla wyszukiwarki łączą go jedynie ustawienia. Folder, w którym znajdują się moduły BitGuarda, zawiera również fałszywy plik dezinstalacyjny (uninstall.exe), który stanowi dokładną kopię browserprotect.exe. W rzeczywistości cały proces usuwania, w którym bierze udział fałszywy plik dezinstalacyjny, polega na usunięciu BitGuard z listy zainstalowanych programów bez fizycznego usunięcia jakichkolwiek obiektów z systemu.            

Rejestracja w systemie oraz przygotowanie do działania

Po skopiowaniu plików niektóre wersje browserprotect.exe mogą zarejestrować się jako usługa Windowsa, co pozwoli im załadować się przed winlogon.   

Następnie, browserprotect.exe tworzy zadanie uruchomienia się przy użyciu standardowej funkcji Windows Task Scheduler   

\system32\schtasks.exe",""system32\schtasks.exe" /delete /f /tn "BrowserProtect"
\system32\schtasks.exe" /delete /f /tn "BrowserProtect"

\system32\schtasks.exe" /create /tn "BrowserProtect" /ru "SYSTEM" /sc minute /mo 1 /tr
"system32\sc.exe start BrowserProtect" /st 00:00:00
\system32\schtasks.exe",""$system32\schtasks.exe" /create /tn "BrowserProtect" /ru "SYSTEM" / sc minute /mo 1 /tr "system32\sc.exe start BrowserProtect" /st 00:00:00

System BitGuard przechowuje docelowe adresy URL, które służą do podmieniania strony początkowej i adresów strony wyszukiwania. Adresy są przechowywane w zaszyfrowanej formie w pliku browserprotect.settings, jak również we własnych kluczach rejestru aplikacji.     

"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "iexplore homepages" -> home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^Z7^xdm354^YY^in&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&si=124514_race_gcIND

"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "firefox homepages" -> «home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND", “home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fd0772&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND”

"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "firefox keywords" -> “search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&ind=2013052007&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND&searchfor="

"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "firefox search engines" -> "My Web Search"

Monitorowanie operacji

Moduł wykonywalny (browserprotect.exe) rejestruje ścieżkę do biblioteki browserprotect.dll w kluczu rejestru AppInit_DLLs, umożliwiając wstrzyknięcie biblioteki do dowolnego procesu uruchomionego na maszynie użytkownika. Podczas ładowania biblioteka identyfikuje proces nadrzędny i przechwytuje szereg funkcji, w tym odczyt z i zapisywanie do pliku. BitGuard monitoruje operacje na plikach wszystkich procesów, ale interesują go tylko operacje dotyczące plików ustawień przeglądarki.             

Podczas wykonywania operacji zapisu/odczytu biblioteka zazwyczaj sprawdza, czy nastąpiły jakieś zmiany w ustawieniach zainstalowanych w systemie przeglądarek. Na przykład, podczas zamykania przeglądarka Chrome zapisuje do pliku swoją bieżącą konfigurację. BitGuard wykrywa tę operację, natychmiast otwiera plik konfiguracyjny i wprowadza adresy docelowych stron wyszukiwania. To samo będzie miało miejsce, gdy użytkownik będzie próbował zmienić konfigurację przeglądarki ręcznie przy użyciu oprogramowania do edycji tekstu.        

Biblioteka obsługuje wiele popularnych przeglądarek (Internet Explorer, Chrome, Mozilla, Opera itd.) i dla każdej z nich stosuje indywidualne podejście. Na przykład, podczas zamykania się Chrome zapisuje dane dotyczące otwieranych zakładek. BitGuard potrafi zarejestrować docelową stronę wyszukiwania jako stronę startową lub jako ostatnio otwieraną zakładkę.  

Aktualizowanie ustawień

Funkcja hook regularnie sprawdza, czy istnieją aktualizacje dla komponentów i ustawień (również główny moduł wykonywalny od czasu do czasu wykonuje takie działanie). Cała zawartość jest pobierana z Amazon Web Services oraz/lub Cloudfront. Ustawienia są zapisywane jako zaszyfrowane pliki pod nazwą dwl.bin oraz bl.bin. Odsyłacze wykorzystywane do pobierania nie są przechowywane jawnie, ale generowane z zaszyfrowanych fragmentów podczas działania aplikacji.      

Przykłady odsyłaczy:

http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/dwl.php
http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/kbl.php

Rozszerzenie funkcjonalności i pobieranie dodatkowych komponentów

System może pobrać dodatkowe moduły, aby zabezpieczyć się przed usunięciem/uszkodzeniem oraz rozszerzyć zestaw metod wykorzystywanych podczas współdziałania z różnymi przeglądarkami.

Przykładem dodatkowego oprogramowania, które może zostać pobrane, są moduły dla przeglądarki Firefox. Poniżej opisujemy, jak to działa:

BitGuard regularnie komunikuje się z serwerem, próbując pobrać plik tekstowy zawierający odsyłacze do archiwów z dodatkowymi modułami. Odsyłacz do pliku tekstowego jest generowany dynamicznie w oparciu o elementy ciągu przechowywane w zasobach biblioteki:  

d1js21szq85hyn.cloudfront.net/ib/138/fflist.txt.

Warto zauważyć, że każda wersja BitGuarda wykorzystuje własne wartości zamiast ib i 138 w ciągu adresu URL. W efekcie, jeżeli zostanie pobrany plik tekstowy, każda wersja BitGuarda otrzyma swój własny zestaw odsyłaczy do aktualizacji. Zawartość pliku tekstowego wygląda następująco:

3;http://d1js21szq85hyn.cloudfront.net/ib/154/3.7z
5;http://d1js21szq85hyn.cloudfront.net/ib/154/5.7z
6;http://d1js21szq85hyn.cloudfront.net/ib/154/6.7z
7;http://d1js21szq85hyn.cloudfront.net/ib/154/7.7z
8;http://d1js21szq85hyn.cloudfront.net/ib/154/8.7z
9;http://d1js21szq85hyn.cloudfront.net/ib/154/9.7z
10;http://d1js21szq85hyn.cloudfront.net/ib/154/10.7z
11;http://d1js21szq85hyn.cloudfront.net/ib/154/11.7z
12;http://d1js21szq85hyn.cloudfront.net/ib/154/12.7z
13;http://d1js21szq85hyn.cloudfront.net/ib/154/13.7z
14;http://d1js21szq85hyn.cloudfront.net/ib/154/14.7z
15;http://d1js21szq85hyn.cloudfront.net/ib/154/15.7z
16;http://d1js21szq85hyn.cloudfront.net/ib/154/16.7z
18;http://d1js21szq85hyn.cloudfront.net/ib/154/18.7z

Każde archiwum jest numerowane zgodnie z numerem odpowiedniego odsyłacza na liście i zawiera wersję biblioteki przeznaczoną dla określonej wersji przeglądarki Firefox. Na przykład 16 archiwum zawiera bibliotekę o nazwie «bprotector-16.0.dll» .  

BitGuard wybiera właściwy odsyłacz dla dodatkowego modułu, pobiera go i rejestruje. W ten sposób uzyskuje dodatkowe narzędzia umożliwiające mu działania z przeglądarką Firefox.   

Czasami BitGuard pobiera również dodatkowe komponenty (jeżeli istnieją), które pozwalają mu pobrać aktualizacje z domen innych niż AmazonAws czy Cloudfront.

yurzin_browser_schema1_ens.png
Instalacja i zachowanie aplikacji na maszynie użytkownika

Przykład modułu dodatku

Trojan-Downloader.Win32.MultiDL.c - trojan wykryty 9 lipca 2013 r. - aktualizuje browserprotect.dll z alternatywnych serwerów. Oprogramowanie to jest aktywnie rozprzestrzeniane: w samym tylko lipcu 2013 r. zablokowaliśmy około 500 000 prób zainfekowania nim maszyn użytkowników. Z czasem jego popularność zmniejszyła się – liczba prób infekcji zablokowanych w styczniu 2014 r. nie przekroczyła 26 000. W sumie od lipca 2013 r. do stycznia 2014 r. próby infekcji zostały zablokowane na 982 950 maszynach użytkowników.         

Plik jest zapisywany na maszynach użytkowników wraz z instalatorem NSIS (Nullsoft Scriptable Install System). Jest pobierany przez BitGuard z AmazonAws (np. protectorlb-1556088852.us-east-1.elb.amazonaws.com) i zapisywany w folderze tymczasowym pod nazwą setup_fsu_cid.exe.

Następnie BitGuard uruchamia cichy proces instalacji (nie są wyświetlane żadne okna):     

"…\setup_fsu_cid.exe" /S

Instalator zawiera dwa programy. Jeden zazwyczaj nie ma nic wspólnego z opisanym powyżej schematem aktualizacji DLL. W przypadku wariantu MultiDL.c, jest to File Scout. Aplikacja nigdy nie występuje bez instalatora i prawdopodobnie ma za zadanie stworzyć iluzję, że instalowany jest użyteczny program. Program oferuje szczegółowe dane dotyczące nieznanych formatów plików, nie zawiera jednak bazy formatów plików w trybie offline, a przekierowuje do strony osoby trzeciej (niewykluczone, że ktoś płaci również za przekierowanie).   

browser_protect_pic06.png
Okno pliku Scout

Druga aplikacja to fałszywy Adobe Flash Player, który w rzeczywistości jest wykorzystywany do pobierania biblioteki wchodzącej w skład systemu BitGuard. Trojan ten jest zamaskowany jako Adobe Flash Player Update Service w wersji 11.6 r602. Najpierw, instalator setup_fsu_cid.exe rozpakowuje plik wykonywalny (.exe) fałszywego odtwarzacza w folderze tymczasowym, nadając plikowi krótką nazwę, np. usvc.exe (C:\users\testwo~1\appdata\local\temp\nsy5f4f.tmp\usvc.exe).           

Następnie, uruchomiony zostaje moduł wykonywalny, który przemieszcza się do foldera C:\Windows\Syswow64\macromed\flash\flashplayer\flashplayerupdateservice.exe i rejestruje zadanie uruchomienia się przy użyciu standardowej usługi Windows Task Scheduler (tj. stosuje tę samą metodę co BitGuard).  

…\system32\schtasks.exe" /create /tn "AdobeFlashPlayerUpdate" /ru "SYSTEM" /sc hourly /mo 1 /tr "…\system32\flashplayerupdateservice.exe /w" /st 00:00:0

Następnie trojan zaczyna pobierać aktualizacje DLL. Każda modyfikacja MultiDL pobiera aktualizacje z kilku domen. Odsyłacze do aktualizacji różnią się od tych, które widzieliśmy w BitGuard (AmazonAws i Cloudfront nie są wykorzystywane). Lista stron różni się w zależności od modyfikacji. Odsyłacze są przechowywane przy użyciu tej samej metody co w browserprotect.dll – jako zaszyfrowane fragmenty. Powstały odsyłacz jest generowany podczas działania programu. Poniżej przedstawiamy kilka przykładów domen, z których pobierane są biblioteki DLL:   

autoavupd.net
autodbupd.net
srvupd.com
srvupd.net
updsvc.com
updsvc.net

Większość domen zostało zarejestrowanych w Rosji, niektóre na Ukrainie i w Wielkiej Brytanii.

Zawartość hostowana na serwerach może być niedostępna od czasu do czasu. W momencie opublikowania tego artykułu (marzec 2014) nic nie można było pobrać z takich stron.

Takie dodatkowe moduły są wykorzystywane jako kopia zapasowa w przypadku usunięcia lub zniszczenia biblioteki (browserprotect.dll / browserdefender.dll / bprotect.dll, etc.), która jest głównym narzędziem kontroli przeglądarki BitGuarda. Jeżeli użytkownik w jakiś sposób znajdzie sposób na usunięcie biblioteki, moduły stanowiące kopię zapasową ponownie pobiorą ją i proces modyfikacji ustawień przeglądarki będzie kontynuowany.    

Podsumowanie

BitGuard modyfikuje bez wiedzy użytkownika ustawienia przeglądarki, wstrzykuje swój kod do procesów osób trzecich, zmienia stronę startową i wyszukiwania przeglądarki i pobiera z Sieci szkodliwe pliki. Cały ten wachlarz szkodliwych funkcji jest wykorzystywany w celu uzyskania korzyści finansowych: właściciele BitGuarda są członkami sieci partnerskiej, która wykorzystuje niewłaściwe metody w celu promowania stron internetowych (odsyłacze do promowanych stron internetowych są wyświetlane w wynikach wyszukiwania pojawiających się na górze).     

Uważamy, że właściciele BitGuarda oraz właściciele wyszukiwarki i paska narzędzi to różne osoby/organizacje. Ktoś dostaje pieniądze za dostarczenie SDK lub silnika wykorzystywanego do utrzymania ustawień przeglądarki na maszynach użytkownika w stanie, który jest korzystny dla właścicieli wyszukiwarki.    

Po pierwsze, logika parametryzacji, na której opiera się BitGuard, wskazuje na następującą sytuację: sam system nie „wie”, która wyszukiwarka powinna zostać włączona w przeglądarce – adresy stron są wymienione w pliku konfiguracyjnym BitGuarda, który jest dołączony do paska narzędzi. Po drugie, istnieją znaczne różnice pomiędzy niektórymi paskami narzędzi. Z drugiej strony, nie ma różnic koncepcyjnych pomiędzy komponentami BitGuarda.    

yurzin_browser_schema2_en_auto.png
Ogólny schemat zarabiania pieniędzy na instalacjach BitGuarda

BitGuard może zostać pobrany przy użyciu dowolnego paska narzędzi związanego z siecią partnerską, a paski narzędzi posiadają wiele źródeł dystrybucji. To wyjaśnia dużą liczbę zainfekowanych komputerów na świecie:


browser_protect_pic08.png
Rozkład geograficzny prób zainfekowania komputerów komponentami BitGuarda

Począwszy od 25 sierpnia 2013 r. pliki BitGuarda zostały zablokowane na komputerach 3,8 miliona użytkowników. Zakładając, że właściciel reklamowanej strony internetowej płaci średnio od 2 do 10 centów za otwarcie każdej strony docelowej, nietrudno oszacować w przybliżeniu przychody uzyskiwane przez uczestników programu partnerskiego.

Komponenty BitGuarda wykrywamy jako:
Trojan.Win32.Bromngr i Trojan-Downloader.Win32.MultiDL

Paski wyszukiwania wykrywamy jako:
not-a-virus:PDM:WebToolbar.Win32.Cossder
not-a-virus:WebToolbar.Win32.Dsearch