18

一文揭露各类劫持浏览器主页手段 附火绒修复方式

 3 years ago
source link: https://zhuanlan.zhihu.com/p/281218230
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

相信不少用户都经历过这样恼人的经历:打开常用的浏览器后,突然发现首页大变样,各种导航站铺满全屏,还充斥悬浮广告和各类弹窗,好不容易修改回原有的首页,没过多久却又被“劫持”,难道自己的浏览器不能自己做主吗?事实上,网络中因浏览器被修改、劫持而求助的事例比比皆是,火绒论坛也会每日收到大量相关问题的反馈和求助,并专门为此设立板块帮助大家解决问题。

根据“火绒在线支持和响应中心”平台数据显示,在近一年内火绒安全团队处理过的用户问题中,“主页劫持”问题就已占据了问题总数的1/4以上,甚至超过了常见的病毒类问题,成为当下影响用户自由使用电脑的首要难题。

vIvqyey.jpg!mobile

在此,我们梳理分析出“劫持主页”的各类方式,披露其危害和更深一层的利益关系,并提供火绒相关防护功能、工具和安全建议,来帮助广大用户避免再遭遇主页被劫持的困扰。

一、浏览器主页劫持的方式

通常情况下,劫持用户浏览器主页(锁定用户浏览器首页)的方式有很多,包括利用驱动、通过修改配置及快捷方式、流氓软件劫持等等,这些方式多数都是通过恶意软件或浏览器插件完成的,用户一般很难发现被劫持的原因。

1.恶意驱动劫持

驱动锁首是通过恶意驱动对浏览器主页进行锁定的。 而恶意驱动常见于第三方下载站提供的系统、软件等工具中,包括系统镜像、PE系统、激活工具以及私服游戏。

RVvY3mb.jpg!mobile

值得一提的是,恶意驱动具备了较高的权限,因此劫持首页后,用户即便发现了也很难解决处理。根据“火绒在线支持和响应中心”平台数据显示,目前火绒解决过的主页劫持问题中,利用驱动劫持首页约占所有主页劫持问题的一半。

2.流氓软件劫持

一些软件会带有锁定浏览器首页等相关功能。 如果具备锁首功能的软件是恶意、流氓软件,便会擅自修改用户的浏览器主页,并且其相关设置功能极为隐蔽,或干脆无法通过设置取消,只能尝试卸载进行恢复。

另外,一些正规软件也具备锁定浏览器首页相关功能。不同的是,这些软件并不会擅自开启或诱导用户开启功能,其目的恰恰是帮助用户自主、自由设置主页,并避免设置好的主页被流氓软件随意“劫持”,如火绒的“浏览器保护”功能。

V7juuqM.png!mobile

3.快捷方式劫持

用户在不知情的情况下,安装并使用了流氓软件。这类软件会“暗箱操作”浏览器的快捷方式,将其目标程序替换成其他浏览器网址。当用户双击快捷方式启动浏览器后,浏览器主页即被劫持。

r6fMBrb.png!mobile

4.浏览器配置错误

用户在安装某些软件后,可能无意间通过该软件修改过浏览器主页,或该软件自动对浏览器主页进行了修改,导致主页被锁定。通常用户可重新设置恢复浏览器主页。

但对于通过修改浏览器的主页标签页,或是注册表内的浏览器相关键值,达到主页劫持目的的其他软件而言,设置浏览器或卸载软件,是无法恢复主页的。

5.运营商与其他设备劫持

用户网络环境出现问题,还可能会与运营商、DNS欺骗、路由器劫持等有关。这类劫持非常隐蔽且无法通过常规方式进行恢复。建议用户更换设备或尝试向有关部门投诉,处理解决。

二、利益驱使下的“主页劫持”现象

浏览器作为互联网主要入口,承载了巨大的用户流量和商业利益,正因如此,也吸引了众多不良厂商与病毒团伙将目光瞄向其中,利用上述恶意方式劫持用户的浏览器首页,获取流量和不当利益。截至目前,火绒也曾多次发布相关安全报告,披露劫持首页行为。

2019年1月份,火绒安全团队发现病毒团伙利用"远景"论坛的系统镜像传播带有后门属性的驱动病毒,该病毒入侵用户电脑后,会劫持导航站、购物网站牟取暴利;

随后,火绒安全团队发现一款名为"WIFI共享大师"的流氓软件,在没任何提示的情况下强行劫持用户浏览器首页,并推送广告信息,致超过20万用户受影响;

同年12月,火绒发布报告披露恶意软件“驱动精灵”在卸载时会主动投放后门病毒,用以在用户电脑中执行云控锁首以及软件推广等恶意行为。

三、“主页劫持”的影响与危害

劫持主页带来最直接的影响,就是强迫用户改变使用习惯,剥夺了用户自由使用浏览器的权益,以及面对各类为推广流量新增的导航站、弹窗和广告时糟糕的体验。

除此之外,劫持主页还可能会带来伴随的安全风险。根据上述火绒数据和报告内容,多数首页劫持都是通过恶意软件和病毒进行操作的,这表明一旦用户首页被劫持,极有可能也会感染病毒、遭遇恶意软件,面临更大的风险。

四、解决办法

1、通过手动修改常规浏览器、软件的设置进行恢复。可参考火绒论坛【主页劫持专项整治】专区【小白用户如何解决首页被锁定问题?】。

ZNNJJrN.jpg!mobile

2、若无法恢复成功,可使用火绒【快速查杀】功能(企业用户)或【安全工具】中的【系统修复】功能(个人用户)进行修复。

bQJv2a.png!mobile

3、对于利用驱动劫持问题,可使用火绒【专杀工具】有效解决。

JF3URf.png!mobile

4、最后,还可通过以下方式,直接向我们反馈首页劫持问题,快速获取火绒专业的帮助:

  • 拨打电话:400-998-3555
  • 通过火绒官方论坛反馈
  • 邮箱:[email protected]
  • 微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

五、安全建议

1、谨慎下载并使用第三方网站的系统、工具、软件及私服游戏等等,如需使用,尽量选择官方或正规渠道进行下载。

2、安装可靠的安全软件,并开启相关防护功能,拦截病毒和恶意软件,阻止注册表等信息被篡改,防止主页被劫持。火绒相关防护功能如下:

  • 【软件安装拦截】功能可拦截捆绑下载的流氓软件;
  • 【系统加固】功能可防止注册表内浏览器信息被修改;
  • 【浏览器保护】功能可锁定浏览器,并保护浏览器首页和搜索不被篡改。

附火绒相关报告&论坛地址:

装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广

激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件

病毒利用安全产品模块 劫持流量、攻击其他安全软件

"WIFI共享大师"劫持首页推广告 受影响用户高达20万

驱动精灵恶意投放后门程序 云控劫持流量、诱导推广

论坛-小白用户如何解决首页被锁定问题?


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK