Взлом браузера - Browser hijacking

Взлом браузера - это форма нежелательного программного обеспечения, которое изменяет настройки веб-браузера без разрешения пользователя, чтобы внедрить нежелательную рекламу в браузер пользователя. Угонщик браузера может заменить существующую домашнюю страницу , страницу ошибки или поисковую систему своей собственной. Обычно они используются для принудительного перехода на определенный веб-сайт , что увеличивает его доход от рекламы .

Некоторые угонщики браузера также содержат шпионское ПО , например, некоторые устанавливают программный кейлоггер для сбора такой информации, как банковские реквизиты и данные аутентификации электронной почты. Некоторые угонщики браузера могут также повредить реестр в системах Windows , часто безвозвратно.

В то время как некоторые случаи взлома браузера можно легко отменить, другие случаи может быть трудно отменить. Существуют различные программные пакеты, предотвращающие такую ​​модификацию.

Многие программы для взлома браузера включены в пакеты программного обеспечения, которые не были выбраны пользователем, и включены в качестве «предложений» в установщик для другой программы, часто включаются без инструкций по удалению или документации о том, что они делают, и представлены таким образом, чтобы предназначен для того, чтобы сбивать с толку обычного пользователя, чтобы заставить его установить нежелательное дополнительное программное обеспечение.

Есть несколько методов, которые используют угонщики браузера, чтобы получить доступ к операционной системе. Вложения электронной почты и файлы, загружаемые через подозрительные веб-сайты и торренты, являются распространенной тактикой, которую используют угонщики браузера.

Безопасность

Незаконное программное обеспечение безопасности

Некоторые мошеннические программы безопасности также захватывают стартовую страницу, обычно отображая сообщение типа «ВНИМАНИЕ! Ваш компьютер заражен шпионским ПО!» чтобы перейти на страницу поставщика антишпионского ПО. Начальная страница вернется к нормальным настройкам после того, как пользователь купит программное обеспечение. Известно, что такие программы, как WinFixer , захватывают стартовую страницу пользователя и перенаправляют ее на другой веб-сайт.

Несуществующие доменные страницы

Система доменных имен запрашивается, когда пользователь вводит имя веб-сайта (например, wikipedia.org), и DNS возвращает IP-адрес веб-сайта, если он существует. Если пользователь неправильно введет имя веб-сайта, DNS вернет ответ о несуществующем домене (NXDOMAIN).

В 2006 году EarthLink начала перенаправлять доменные имена с ошибками на страницу поиска. Это было сделано путем интерпретации кода ошибки NXDOMAIN на уровне сервера. Объявление вызвало много отрицательных отзывов, и EarthLink предлагала услуги без этой функции.

Операция

Нежелательные программы часто не содержат никаких указаний на то, что они установлены, а также инструкций по удалению или отказу от использования.

Большинство программ-перехватчиков постоянно изменяют настройки браузеров, что означает, что выбор пользователя в их собственном браузере перезаписывается. Некоторые антивирусные программы идентифицируют программы для взлома браузера как вредоносные и могут удалить их. Некоторые программы сканирования на шпионское ПО имеют функцию восстановления браузера, чтобы вернуть настройки браузера пользователя в нормальное состояние или предупредить его об изменении страницы браузера.

Избегание

Начиная с Microsoft Windows 10 , веб-браузеры больше не могут быть настроены пользователем по умолчанию без дальнейшего вмешательства; изменение веб-браузера по умолчанию должно выполняться пользователем вручную на странице настроек «Приложения по умолчанию», якобы для предотвращения взлома браузера.

Примеры угонщиков

Некоторые злоумышленники изменяют домашнюю страницу браузера, отображают рекламу и / или устанавливают поисковую систему по умолчанию; к ним относятся Astromenda (www.astromenda.com); Панель инструментов Ask (ask.com); ESurf (esurf.biz) Бинкиленд (binkiland.com); Дельта и Кларо ; Дрегол ; Джамениз ; Mindspark ; Groovorio ; Сладкая страница; Mazy Search ; Search Protect by Conduit вместе с search.conduit.com и вариантами ; Туваро ; Кран ; en.4yendex.com ; Yahoo ; и т.п.

Панель инструментов Babylon

Babylon Toolbar - это браузер-угонщик, который изменяет домашнюю страницу браузера и устанавливает поисковую систему по умолчанию на isearch.babylon.com. Это также разновидность рекламного ПО . Он отображает рекламу, спонсорские ссылки и ложные платные результаты поиска. Программа будет собирать поисковые запросы из ваших поисковых запросов.

Программа перевода Babylon предлагает добавить панель инструментов Babylon при установке. Панель инструментов также поставляется в виде надстройки с другими загружаемыми программами.

В 2011 году сайт CNet Download.com начал объединять панель инструментов Babylon с пакетами с открытым исходным кодом, такими как Nmap . Гордон Лайон , разработчик Nmap, был расстроен тем, как пользователей его программного обеспечения обманом заставляли использовать панель инструментов. Вице-президент Download.com Шон Мерфи принес извинения: объединение этого программного обеспечения было ошибкой с нашей стороны, и мы приносим свои извинения сообществам пользователей и разработчиков за беспорядки, которые это вызвало.

Существуют аналогичные варианты панели инструментов Babylon и домашней страницы поиска, включая Bueno Search, Delta Search, Claro Search и Search GOL. Согласно условиям обслуживания, все эти варианты принадлежат Вавилону.

Все панели инструментов были созданы Montiera.

Conduit (Search Protect)

Conduit - ЩЕНКА / угонщик. Он крадет личную и конфиденциальную информацию у пользователя и передает ее третьим лицам. Эта панель была определена как потенциально нежелательные программы (ПУПС) по Malwarebytes и , как правило , в комплекте с бесплатной загрузки. Эти панели инструментов изменяют поисковую систему браузера по умолчанию, домашнюю страницу, страницу новой вкладки и некоторые другие настройки браузера. Существуют аналогичные варианты поиска каналов, такие как trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb. .com, наряду с другими вариантами, которые были созданы индивидуально для службы создания панелей инструментов, которую раньше предлагала Conduit Ltd.

Программа под названием «Conduit Search Protect», более известная как «Search Protect by pipe», может вызывать серьезные системные ошибки при удалении. Он утверждает, что защищает настройки браузера, но фактически блокирует все попытки манипулировать браузером через страницу настроек; Другими словами, он следит за тем, чтобы вредоносные настройки оставались неизменными. Search Protect имеет возможность изменить домашнюю страницу поиска с «рекомендуемой» домашней страницы поиска Trovi, однако пользователи сообщают, что она возвращается обратно на Trovi через некоторое время. Программа удаления Search Protect может привести к невозможности загрузки Windows из-за Файл удаления удаляет не только собственные файлы, но и все загрузочные файлы в корне диска C :. и оставляет файл BackGroundContainer.dll в реестре запуска. Conduit ассоциируется с вредоносным , шпионским и рекламным ПО , поскольку жертвы этого угонщика сообщают о нежелательных всплывающих окнах и встроенной текстовой рекламе на сайтах без рекламы.

Perion Network Ltd. приобрела бизнес Conduit ClientConnect в начале января 2014 года, а позже стала партнером Lenovo для создания Lenovo Browser Guard, использующего компоненты Search Protect.

Жертвы нежелательных перенаправлений на pipelineit.com также сообщали, что они подверглись атакам с помощью попыток фишинга и получили нежелательный спам, нежелательную почту, другие сообщения и телефонные звонки от продавцов телемаркетинга. Некоторые жертвы утверждают, что звонившие утверждали, что они были Apple, Microsoft или их интернет-провайдером , и им сказали, что в некоторых телефонных звонках использовалась личная информация, и что некоторые из звонков касались их привычек просмотра и недавней истории просмотра. Личная информация, используемая при попытках фишинга, может быть связана со шпионским ПО.

Сервер купонов

Coupon Server - это рекламная программа, в состав которой входит несколько бесплатных приложений, которые пользователи могут загрузить из Интернета. Эта программа может появиться на ПК без ведома пользователя. Сервер купонов может показаться полезным, но может быть навязчивым и показывать рекламу без разрешения пользователя. Coupon Server также считается вредоносным доменом и угонщиком браузера . Он захватит ваш интернет-браузер и принудительно приведет пользователя на его домашнюю страницу, которая замаскирована под законную поисковую систему, чтобы обмануть посетителей и заставить их использовать веб-сайт. Он также направит браузер на подозрительный домен и изменит настройки браузера.

istartsurf.com

Угонщик браузера istartsurf.com может заменить предпочтительные инструменты поиска. Эта инфекция распространяется в комплекте со сторонними приложениями, и ее установка может быть тихой. Из-за этого затронутые пользователи не знают, что угонщик заразил их браузеры Internet Explorer , Google Chrome или Mozilla Firefox .

Search-daily.com

Search-daily.com - это угонщик, который может быть загружен трояном Zlob . Он перенаправляет поисковые запросы пользователя на порнографические сайты. Также известно, что он снижает производительность компьютера.

Snap.do

Snap.do (Smartbar, разработанный Resoft) - это потенциальное вредоносное ПО, классифицируемое как угонщик браузера и шпионское ПО, которое заставляет интернет-браузеры перенаправлять на поисковую систему snap.do. Snap.Do можно загрузить вручную с веб-сайта Resoft, хотя многие пользователи попадают в ловушку своих неэтичных условий. Он влияет на Windows и может быть удален через меню «Добавить / удалить программу». Snap.Do также может загружать множество вредоносных панелей инструментов, надстроек и надстроек, таких как DVDVideoSoftTB, General Crawler и Save Valet.

Известно, что General Crawler, установленный Snap.do, использует бэкдорный процесс, потому что он переустанавливается и повторно включает себя каждый раз, когда затронутый пользователь удаляет его через свой браузер (а).

Snap.do отключит возможность изменения домашней страницы и поисковой системы по умолчанию.

Resoft будет отслеживать следующую информацию:

  • Интернет-домен и IP-адрес, с которого пользователь получает доступ к Продуктам Resoft (местоположение, идентификатор и т. Д.)
  • Разрешение экрана монитора (дисплея) компьютера пользователя
  • Дата и время, когда пользователь намеренно или непреднамеренно получает доступ к продуктам Resoft.
  • Страницы, которые пользователь посещает с Продуктами Resoft (со знанием или без знания использования продуктов Resoft, Snap.do)
  • Если пользователь добровольно или неохотно перешел на веб-сайт Resoft с другого ссылающегося веб-сайта, адрес этого сайта

Используя Продукты Resoft, пользователь соглашается на передачу и обработку своих персональных данных как в Соединенных Штатах Америки, так и за их пределами.

Используя веб-сайт Resoft, пользователь соглашается с предыдущим использованием своей информации Resoft таким образом.

Установщик SourceForge

Предыдущий установщик SourceForge включал установщики рекламного ПО и ПНП.

Один из них изменяет настройки браузера Firefox, Chrome и Internet Explorer, чтобы показать веб-сайт istartsurf.com в качестве домашней страницы. Это достигается путем изменения настроек реестра и установки программного обеспечения, которое сбрасывает настройки, если пользователь пытается их изменить.

1 июня 2015 года SourceForge заявила, что перестала связывать «сторонние предложения» с неподдерживаемыми проектами SourceForge.

Востеран

Vosteran - это угонщик браузера, который изменяет домашнюю страницу браузера и поисковую систему по умолчанию на vosteran.com. Эта инфекция, по сути, связана с другими сторонними приложениями. Личность Востерана защищена сайтом privacyprotect.org из Австралии. Востеран зарегистрирован через Whiteknight.

Trovi

Его можно найти при установке «Cheat Engine» или другой версии «VLC Player» на www.oldapps.com или при загрузке приложений с определенных бесплатных сайтов, таких как Softonic.com или Download.com.

Trovi использует Bing (законную поисковую систему) для предоставления результатов пользователю. Хотя при отображении результатов поиска адресная строка меняется на Bing.com, ключевые слова для поиска все равно выполняются через Trovi. Раньше Trovi использовала собственный веб-сайт для отображения результатов поиска с логотипом в верхнем левом углу страницы, но позже переключилась на Bing, пытаясь легче обмануть пользователей. Trovi не так опасен, как раньше, убирая рекламу из результатов поиска в зависимости от того, какой браузер используется, но по-прежнему считается угонщиком браузера.

Он также управляет настройками домашней страницы и новой вкладки, чтобы запретить возможность вернуть их к исходным настройкам. В зависимости от того, какой браузер используется, на странице может появляться реклама.

Когда он заражает, он заставляет браузер перенаправлять с Google и некоторых других поисковых систем на trovi.com.

Trovi был создан с помощью службы создания панелей инструментов Conduit и известен тем, что заражает их аналогично панели инструментов Conduit.

использованная литература

  1. ^ «Исправление взлома браузера и удаление взлома браузера» . Microsoft . Проверено 23 октября 2012 года .
  2. ^ a b «Критерии потенциально нежелательной программы для Malwarebytes» . Malwarebytes .
  3. ^ «Рейтинг лучших решений для защиты от вредоносных программ» . Арстехника. 2009-12-15 . Проверено 28 января 2014 .
  4. ^ «Энциклопедия угроз - общее нежелательное ПО» . Trend Micro . Проверено 27 ноября 2012 года .
  5. ^ «Критерии ЩЕНКА» . Malwarebytes.
  6. ^ Мук, Нейт (2006-09-06). «EarthLink критикуется за перенаправление DNS» . betaNews . Проверено 9 мая 2012 года .
  7. ^ «Mozilla обвиняет Microsoft в том, что она усложняет переход на Firefox в Windows 10» . Грань . Vox Media. 2015-07-30 . Проверено 18 октября 2015 года .
  8. ^ "PUA.Astromenda" . symantec.com .
  9. ^ «Как удалить поиск Astromenda из вашего браузера» . Lavasoft .
  10. ^ «Удалите Astromenda, Buzzdock и панель инструментов Extended Update из вашего браузера» . norton.com .
  11. ^ "Удаление Dregol Search | Руководство по удалению" .
  12. Избавление от Вавилона Джей Ли, Хьюстонские хроники, 25 июля 2012 г.
  13. ^ Download.com извините за установку Nmap вместе с программным обеспечением The Register 9 декабря 2011 г.
  14. Заметка Шона относительно установщика Download.com, заархивированная 27июля 2012 г.на сайте Wayback Machine Download.com 7 декабря 2011 г.
  15. ^ [1]
  16. ^ «Как удалить Search Protect от Conduit Ltd» . Lavasoft. 2013-06-01 . Проверено 12 октября 2013 .
  17. ^ «Объедините свое программное обеспечение с настраиваемой панелью инструментов и начните зарабатывать деньги» . Conduit Ltd. 2013. Архивировано из оригинала на 2014-03-31 . Проверено 12 октября 2013 .
  18. ^ «Загрузите меня II - Удаление остатков наиболее опасных поисковых запросов в Интернете» . Ars Technica . 2013-08-25 . Проверено 12 октября 2013 .
  19. ^ «Исправление BackgroundContainer.dll, оставленного Conduit Ltd» . appuals . Проверено 20 марта 2015 года .
  20. ^ «Perion завершает приобретение ClientConnect компании Conduit, создавая ведущего поставщика цифровых решений для издателей» (пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Деловой провод. 2014-01-02 . Проверено 7 июня 2015 .
  21. ^ «Perion сотрудничает с Lenovo для создания Lenovo Browser Guard» (пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Деловой провод. 2014-06-18 . Проверено 7 июня 2015 .
  22. ^ «Как удалить Search Protect By Conduit Ltd» . Lavasoft . Проверено 3 декабря 2014 .
  23. ^ "Удалить вирус" Ads by Coupon Server (Руководство по удалению) " . Удалите вирус «Ads by Coupon Server» (Руководство по удалению) . Стелиан Пилич . Проверено 25 марта 2014 года .
  24. ^ "Удалить istartsurf" . support.kaspersky.com . Лаборатория Касперского . Проверено 24 июня 2010 года .
  25. ^ "Browser Hijacker" (PDF) . MySearchCorp . Проверено 3 июля 2012 года .
  26. ^ «Как удалить Snap.Do Browser Hijacker» . Lavasoft . Проверено 4 августа 2014 года .
  27. ^ [2]
  28. ^ «Сторонние предложения будут представлены только в проектах Opt-In - блог сообщества SourceForge» . Блог сообщества SourceForge . 2015-06-01 . Проверено 16 августа 2018 .
  29. ^ "Удалить Vosteran" . Как удалить. 2014-11-25 . Проверено 25 ноября 2014 года .
  30. ^ Как легко удалить перенаправление поиска Trovi (Справочное руководство по вирусам) . вредоносное ПО