Взлом браузера

Форма нежелательного программного обеспечения

Браузерный хайджекинг — это форма нежелательного программного обеспечения, которое изменяет настройки веб-браузера без разрешения пользователя, чтобы внедрить нежелательную рекламу в браузер пользователя. Браузерный хайджекер может заменить существующую домашнюю страницу , страницу ошибки или поисковую систему своими собственными. ^[1] Обычно они используются для принудительного перехода на определенный веб-сайт , увеличивая его доход от рекламы .

Некоторые браузерные хайджекеры также содержат шпионское ПО , например, некоторые устанавливают программный кейлоггер для сбора информации, такой как банковские и данные аутентификации электронной почты. Некоторые браузерные хайджекеры также могут повредить реестр в системах Windows , часто навсегда.

В то время как некоторые случаи взлома браузера могут быть легко отменены, другие случаи могут быть труднообратимы. Существуют различные программные пакеты для предотвращения таких изменений.

Многие программы для взлома браузера включены в программные пакеты, которые пользователь не выбирал, и включены в качестве «предложений» в установщик другой программы, часто без инструкций по удалению или документации о том, что они делают, и представлены таким образом, чтобы сбить с толку обычного пользователя, чтобы заставить его установить нежелательное дополнительное программное обеспечение. ^{[2] [3] [4] [5]}

Существует несколько методов, которые используют браузерные хайджекеры для проникновения в операционную систему. Вложения электронной почты и файлы, загруженные через подозрительные веб-сайты и торренты, являются распространенной тактикой, которую используют браузерные хайджекеры. ^{[ необходима цитата ]}

Безопасность

Мошенническое программное обеспечение безопасности

Некоторые мошеннические программы безопасности также захватывают стартовую страницу, обычно отображая сообщение типа "ВНИМАНИЕ! Ваш компьютер заражен шпионским ПО!", чтобы перенаправить на страницу поставщика антишпионского ПО. Стартовая страница вернется к обычным настройкам, как только пользователь купит их ПО. Известно, что такие программы, как WinFixer, захватывают стартовую страницу пользователя и перенаправляют его на другой веб-сайт.

Несуществующие страницы домена

Система доменных имен запрашивается, когда пользователь вводит имя веб-сайта (например, wikipedia.org), и DNS возвращает IP-адрес веб-сайта, если он существует. Если пользователь неправильно вводит имя веб-сайта, то DNS вернет ответ Non-Existent Domain (NXDOMAIN).

В 2006 году EarthLink начала перенаправлять неправильно введенные доменные имена на страницу поиска. Это было сделано путем интерпретации кода ошибки NXDOMAIN на уровне сервера. Объявление вызвало множество негативных отзывов, и EarthLink предложила услуги без этой функции. ^[6]

Операция

Нежелательные программы часто не имеют никаких признаков того, что они установлены, и не содержат инструкций по удалению или отказу от них. ^[2]

Большинство программ-перехватчиков постоянно изменяют настройки браузеров, что означает, что выбор пользователя в его собственном браузере перезаписывается. Некоторые антивирусные программы идентифицируют программы-перехватчики браузеров как вредоносное ПО и могут удалить его. Некоторые программы сканирования шпионских программ имеют функцию восстановления браузера, чтобы вернуть настройки браузера пользователя к нормальным или предупредить его об изменении страницы браузера.

Избегание

Начиная с Microsoft Windows 10 , веб-браузеры больше не могут устанавливать себя в качестве браузера по умолчанию для пользователя без дальнейшего вмешательства; изменение веб-браузера по умолчанию должно выполняться пользователем вручную на странице «Приложения по умолчанию» в настройках, якобы для предотвращения взлома браузера. ^[7]

Примеры угонщиков

Ряд угонщиков изменяют домашнюю страницу браузера, отображают рекламу и/или устанавливают поисковую систему по умолчанию; к ним относятся Astromenda (www.astromenda.com); ^{[8] [9] [10]} Ask Toolbar ( ask.com ); ESurf (esurf.biz) Binkiland (binkiland.com); Delta и Claro ; Dregol ; ^[11] Jamenize ; Mindspark ; Groovorio ; Sweet Page ; Mazy Search ; Search Protect by Conduit вместе с search.conduit.com и его вариантами; Tuvaro ; Spigot ; en.4yendex.com ; Yahoo и т. д.

Панель инструментов Вавилона

Babylon Toolbar — это браузерный хайджекер, который меняет домашнюю страницу браузера и устанавливает поисковую систему по умолчанию на isearch.babylon.com. Это также форма рекламного ПО . Он отображает рекламу, спонсорские ссылки и поддельные платные результаты поиска. Программа будет собирать поисковые термины из ваших поисковых запросов.

Переводческое программное обеспечение Babylon предлагает добавить Babylon Toolbar при установке. Панель инструментов также поставляется в комплекте с другими загрузками программного обеспечения. ^[12]

В 2011 году сайт CNet Download.com начал объединять Babylon Toolbar с пакетами с открытым исходным кодом, такими как Nmap . Гордон Лион , разработчик Nmap, был расстроен тем, как пользователи его программного обеспечения были обмануты, чтобы использовать панель инструментов. ^[13] Вице-президент Download.com Шон Мерфи принес извинения: Объединение этого программного обеспечения было ошибкой с нашей стороны, и мы приносим извинения сообществам пользователей и разработчиков за беспорядки, которые оно вызвало. ^[14]

Существуют похожие варианты панели инструментов Babylon и домашней страницы поиска, включая: Bueno Search, Delta Search, Claro Search и Search GOL. Все эти варианты, как указано в условиях обслуживания, принадлежат Babylon.

Все панели инструментов были созданы Монтьерой. ^[15]

Conduit (поиск защиты)

Conduit — это ПНП / угонщик. Он крадет личную и конфиденциальную информацию у пользователя и передает ее третьей стороне. Эта панель инструментов была определена Malwarebytes как потенциально нежелательные программы ( ПНП ) ^​​[16] и обычно поставляется в комплекте с бесплатными загрузками. ^{[17] [18]} Эти панели инструментов изменяют поисковую систему браузера по умолчанию, домашнюю страницу, страницу новой вкладки и несколько других настроек браузера. Существуют похожие варианты поиска conduit, такие как trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb.com, а также другие варианты, которые были созданы в индивидуальном порядке для сервиса создания панелей инструментов, который раньше предлагала Conduit Ltd. ^{[ необходима цитата ]}

Программа под названием «Conduit Search Protect», более известная как «Search Protect by conduit», может вызывать серьезные системные ошибки при удалении. Она утверждает, что защищает настройки браузера, но на самом деле блокирует все попытки манипулировать браузером через страницу настроек; другими словами, она гарантирует, что вредоносные настройки останутся неизменными. Search Protect имеет возможность изменить домашнюю страницу поиска с «рекомендуемой» домашней страницы поиска Trovi, однако пользователи сообщали, что она возвращается к Trovi через некоторое время. ^{[ необходима цитата ]} Программа удаления для Search Protect может привести к тому, что Windows не будет загружаться, поскольку файл удаления удаляет не только свои собственные файлы, но и все загрузочные файлы в корне диска C:. ^{[ необходима цитата ]} и оставляет файл BackGroundContainer.dll в реестре запуска. ^[19] Conduit связан с вредоносным ПО , шпионским ПО и рекламным ПО , поскольку жертвы этого угонщика сообщали о нежелательных всплывающих окнах и встроенной текстовой рекламе на сайтах без рекламы.

В начале января 2014 года компания Perion Network Ltd. приобрела бизнес ClientConnect компании Conduit ^[20] , а затем в партнерстве с Lenovo создала Lenovo Browser Guard ^[21] , который использует компоненты Search Protect.

Жертвы нежелательных перенаправлений на conduit.com также сообщали, что они подвергались фишинговым атакам и получали нежелательный спам по электронной почте, нежелательную почту, другие сообщения и телефонные звонки от телемаркетеров. Некоторые жертвы утверждают, что звонившие представлялись Apple, Microsoft или их интернет-провайдером , и им говорят, что в некоторых телефонных звонках использовалась личная информация, и что некоторые звонки касались их привычек просмотра и недавней истории просмотров. Личная информация, используемая при фишинговых атаках, может быть связана со шпионским ПО. ^[22]

istartsurf.com

Браузерный хайджекер istartsurf.com может заменить предпочтительные поисковые инструменты. Эта инфекция распространяется в комплекте со сторонними приложениями, и ее установка может быть незаметной. Из-за этого пострадавшие пользователи не знают, что хайджекер заразил их браузеры Internet Explorer , Google Chrome или Mozilla Firefox . ^[23]

Search-daily.com

Search-daily.com — это угонщик, который может быть загружен трояном Zlob . Он перенаправляет поиск пользователя на порнографические сайты. Известно также, что он замедляет производительность компьютера. ^[24]

Snap.сделать

Snap.do (Smartbar, разработанный Resoft) — потенциально вредоносное ПО, классифицируемое как браузерный хайджекер и шпионское ПО, которое заставляет интернет-браузеры перенаправляться на поисковую систему snap.do. Snap.Do можно вручную загрузить с веб-сайта Resoft, хотя многие пользователи попадают в ловушку его неэтичных терминов. Он влияет на Windows и может быть удален через меню «Установка и удаление программ». Snap.Do также может загружать множество вредоносных панелей инструментов, надстроек и плагинов, таких как DVDVideoSoftTB, General Crawler и Save Valet.

Известно, что вредоносный модуль General Crawler, установленный Snap.do, использует бэкдор-процесс, поскольку он переустанавливается и повторно включается каждый раз, когда затронутый пользователь удаляет его через свой браузер(ы).

Snap.do отключит возможность изменения домашней страницы и поисковой системы по умолчанию.

Resoft будет отслеживать следующую информацию:

• Интернет-домен и IP-адрес, с которого пользователь получает доступ к продуктам Resoft (местоположение, идентификатор и т. д.)
• Разрешение экрана монитора компьютера пользователя (дисплея)
• Дата и время, когда пользователь намеренно или непреднамеренно получает доступ к продуктам Resoft
• Страницы, которые пользователь посещает с продуктами Resoft (имея или не имея знаний об использовании продуктов Resoft, Snap.do)
• Если пользователь вольно или невольно перешел на сайт Resoft с другого ссылающегося сайта, адрес этого сайта

Используя продукты Resoft, пользователь дает согласие на передачу и обработку своих персональных данных как в Соединенных Штатах Америки, так и за их пределами.

Используя веб-сайт Resoft, пользователь соглашается с предыдущим использованием его информации таким образом компанией Resoft. ^[25]

Установщик SourceForge

Предыдущий установщик SourceForge включал в себя установщики рекламного ПО и потенциально нежелательных программ. ^[26]

Один из них изменяет настройки браузеров Firefox, Chrome и Internet Explorer, чтобы показывать сайт "istartsurf.com" в качестве домашней страницы. Он делает это, изменяя настройки реестра и устанавливая программное обеспечение, которое сбрасывает настройки, если пользователь пытается их изменить.

1 июня 2015 года SourceForge заявили, что прекратили связывать «предложения третьих лиц» с неподдерживаемыми проектами SourceForge. ^[27]

Trojan.WinLNK.Agent

Trojan.WinLNK.Agent (также Trojan:Win32/Startpage.OS ) — это определение от Kaspersky Labs для троянского загрузчика , троянского дроппера или троянского шпиона . Его первое известное обнаружение датируется 31 мая 2011 года, согласно Microsoft Malware Protection Center . Этот троян открывает браузер Internet Explorer на предопределенной странице (например, i.163vv.com/?96 ). Троянские файлы с расширением LNK (выражение) — это ярлык Windows для вредоносного файла, программы или папки. Файл LNK этого семейства запускает вредоносный исполняемый файл или может быть сброшен другим вредоносным ПО . Эти файлы в основном используются червями для распространения через USB-накопители (т. е.). ^{[28] [29]} В 2016 году в Индии было больше всего инцидентов, связанных с этим трояном, — 18,36 % во всем мире. ^[28]

Другие псевдонимы:

• Win32/StartPage.NZQ ( ESET ) ^[29]
• Trojan.WinLNK.Startpage ( Лаборатория Касперского ) ^[30]
• Троян:Win32/Startpage.OS ( Microsoft ) ^[29]

Другие варианты:

• Trojan.WinLNK.Agent.ae
• Троян.WinLNK.Agent.ew ^[31]

Востеран

Vosteran — это браузерный хайджекер, который изменяет домашнюю страницу браузера и поисковую систему по умолчанию на vosteran.com. Эта инфекция по сути связана с другими сторонними приложениями. Личность Vosteran защищена privacyprotect.org из Австралии. Vosteran зарегистрирован через Whiteknight. ^[32]

Трови

Его можно обнаружить при установке «Cheat Engine» или другой версии «VLC Player» на www.oldapps.com, а также при загрузке приложений с некоторых сайтов бесплатного ПО, таких как Softonic.com или Download.com.

Trovi использует Bing (легитимную поисковую систему) для предоставления результатов пользователю. Хотя адресная строка меняется на Bing.com при отображении результатов поиска, ключевые слова поиска выполняются через Trovi независимо от этого. Trovi раньше использовал свой собственный веб-сайт для отображения результатов поиска с логотипом в левом верхнем углу страницы, но позже перешел на Bing, чтобы легче обмануть пользователей. Trovi не так опасен, как раньше, убирая рекламу из результатов поиска в зависимости от используемого браузера, но все еще считается угонщиком браузера.

Он также контролирует настройки домашней страницы и новой вкладки, чтобы запретить возможность изменить их обратно на исходные настройки. В зависимости от используемого браузера на странице могут появляться объявления.

При заражении он перенаправляет браузер с Google и некоторых других поисковых систем на trovi.com. ^[33]

Trovi был создан с использованием сервиса создания панелей инструментов Conduit и, как известно, заражает вирусами способами, аналогичными панелям инструментов Conduit.

Ссылки

1. "Browser Hijacking Fix & Browser Hijacking Removal". Microsoft . Архивировано из оригинала 7 февраля 2015 года . Получено 23 октября 2012 года .
2. "Критерии потенциально нежелательной программы Malwarebytes". Malwarebytes . Архивировано из оригинала 2016-04-09 . Получено 2015-08-07 .
3. "Рейтинг лучших решений по борьбе с вредоносным ПО". Arstechnica. 2009-12-15. Архивировано из оригинала 2014-02-02 . Получено 28 января 2014 г.
4. "Threat Encyclopedia – Generic Grayware". Trend Micro. Архивировано из оригинала 14 июля 2014 года . Получено 27 ноября 2012 года .
5. "PUP Criteria". Malwarebytes. Архивировано из оригинала 2016-04-09 . Получено 2019-01-06 .
6. Мук, Нейт (2006-09-06). "EarthLink критикуют за перенаправления DNS". betaNews . Архивировано из оригинала 2012-05-01 . Получено 9 мая 2012 .
7. "Mozilla критикует Microsoft за то, что она усложнила переход на Firefox в Windows 10". The Verge . Vox Media. 2015-07-30. Архивировано из оригинала 2015-07-31 . Получено 18 октября 2015 г.
8. "PUA.Astromenda". Symantec . Архивировано из оригинала 2015-09-08 . Получено 2015-08-24 .
9. "Как удалить поиск Astromenda из браузера". Lavasoft . Архивировано из оригинала 2015-09-05 . Получено 2015-08-24 .
10. "Удалите Astromenda, Buzzdock и расширенную панель инструментов обновления из вашего браузера". norton.com . Архивировано из оригинала 2015-09-25 . Получено 2015-08-24 .
11. "Dregol Search Removal | Removal Guide". Архивировано из оригинала 2021-04-10 . Получено 2016-03-22 .
12. Избавление от Вавилона. Архивировано 26 октября 2012 г. в Wayback Machine. Джей Ли, The Houston Chronicle, 25 июля 2012 г.
13. Лейден, Джон. "Download.com извините за то, что связал Nmap с хламом". www.theregister.com . Архивировано из оригинала 2023-01-11 . Получено 2023-01-11 .
14. Заметка от Шона относительно установщика Download.com Архивировано 27 июля 2012 г. на Wayback Machine Download.com 7 декабря 2011 г.
15. "Montiera". montiera.com . Архивировано из оригинала 3 декабря 2016 года . Получено 13 января 2022 года .
16. "Как удалить Search Protect от Conduit Ltd". Lavasoft. 2013-06-01. Архивировано из оригинала 2014-09-10 . Получено 2013-10-12 .
17. «Объедините свое программное обеспечение с пользовательской панелью инструментов и начните зарабатывать деньги». Conduit Ltd. 2013. Архивировано из оригинала 2014-03-31 . Получено 2013-10-12 .
18. "Download me II — Удаление остатков самых опасных поисковых терминов в Интернете". Ars Technica . 2013-08-25. Архивировано из оригинала 2013-10-01 . Получено 2013-10-12 .
19. "Исправление BackgroundContainer.dll, оставленного Conduit Ltd". appuals. Архивировано из оригинала 26 марта 2015 г. Получено 20 марта 2015 г.
20. "Perion завершает приобретение ClientConnect компании Conduit, создавая ведущего поставщика цифровых решений для издателей" (пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Business Wire. 2014-01-02. Архивировано из оригинала 2015-06-13 . Получено 2015-06-07 .
21. "Perion Partners with Lenovo to Create Lenovo Browser Guard" (пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Business Wire. 2014-06-18. Архивировано из оригинала 2015-07-04 . Получено 2015-06-07 .
22. "Как удалить Search Protect от Conduit Ltd". Lavasoft. Архивировано из оригинала 2 декабря 2014 года . Получено 3 декабря 2014 года .
23. "Удалить istartsurf". support.kaspersky.com . Лаборатория Касперского . Архивировано из оригинала 30 сентября 2013 . Получено 24 июня 2010 .
24. «Browser Hijacker». nodsrv. 31 июля 2023 г.
25. "Как удалить Snap.Do Browser Hijacker". Lavasoft. Архивировано из оригинала 8 августа 2014 года . Получено 4 августа 2014 года .
26. "istartsurf.com - захват браузера - стартовая страница во всех браузерах | Endpoint SWAT: защита сообщества Endpoint". community.broadcom.com . Архивировано из оригинала 2023-01-11 . Получено 2023-01-11 .
27. "Предложения третьих лиц будут представлены только в проектах Opt-In - Блог сообщества SourceForge". Блог сообщества SourceForge . 2015-06-01. Архивировано из оригинала 2018-08-11 . Получено 2018-08-16 .
28. Угрозы Касперского — TROJAN.WINLNK.RUNNER
29. :Win32/Startpage.OS
30. Угрозы Касперского — TROJAN.WINLNK.STARTPAGE
31. Kaspersky Security Bulletin 2015. Общая статистика за 2015 год - Securelist
32. "Удалить Vosteran". Как удалить. 2014-11-25. Архивировано из оригинала 2015-02-13 . Получено 25 ноября 2014 .
33. "Как удалить Trovi.com и Trovi Search с Mac или Windows". 2018-09-07. Архивировано из оригинала 2022-12-05 . Получено 2023-01-11 .

Внешние ссылки

• Анализ файла на VirusTotal