Взлом браузера - Browser hijacking

Взлом браузера это форма нежелательное программное обеспечение что изменяет веб-браузер без разрешения пользователя, чтобы внедрить нежелательную рекламу в браузер пользователя. Угонщик браузера может заменить существующие домашняя страница, страница ошибки или поисковый движок с собственным.[1] Обычно они используются для принуждения хиты к конкретному интернет сайт, увеличивая ее Реклама доход.

Некоторые угонщики браузера также содержат шпионское ПО, например, некоторые устанавливают программный кейлоггер для сбора такой информации, как банковские реквизиты и данные аутентификации электронной почты. Некоторые угонщики браузера могут также повредить реестр на Системы Windows, часто навсегда.

Некоторые случаи взлома браузера можно легко отменить, в то время как другие случаи может быть трудно отменить. Существуют различные программные пакеты, предотвращающие такую ​​модификацию.

Многие программы для взлома браузера включены в пакеты программного обеспечения, которые пользователь не выбрал, и включены в качестве «предложений» в установщик для другой программы, часто включаются без инструкций по удалению или документации о том, что они делают, и представлены в виде это разработано, чтобы сбить с толку обычного пользователя, чтобы заставить его установить нежелательное дополнительное программное обеспечение.[2][3][4][5]

Есть несколько методов, которые используют угонщики браузера, чтобы получить доступ к операционной системе. Вложения электронной почты и файлы, загружаемые через подозрительные веб-сайты и торренты, являются распространенной тактикой, которую используют угонщики браузера.[нужна цитата ]

Фон

Незаконное программное обеспечение безопасности

Немного мошенническое программное обеспечение безопасности также захватит стартовую страницу, обычно отображая сообщение типа «ВНИМАНИЕ! Ваш компьютер заражен шпионским ПО!» чтобы перейти на страницу поставщика антишпионского ПО. Начальная страница вернется к нормальным настройкам, как только пользователь купит программное обеспечение. Такие программы как WinFixer известны тем, что захватывают стартовую страницу пользователя и перенаправляют ее на другой веб-сайт.

Несуществующие доменные страницы

В система доменных имен запрашивается, когда пользователь вводит имя веб-сайта (например, wikipedia.org), и DNS возвращает IP-адрес веб-сайта, если он существует. Если пользователь неправильно введет имя веб-сайта, DNS вернет ответ о несуществующем домене (NXDOMAIN).

В 2006 г. EarthLink начал перенаправлять неправильно набранные доменные имена на страницу поиска. Это было сделано путем интерпретации кода ошибки NXDOMAIN на уровне сервера. Объявление вызвало много отрицательных отзывов, и EarthLink предлагала услуги без этой функции.[6]

Операция

Нежелательные программы часто не содержат указаний на то, что они установлены, а также инструкций по удалению или отказу от использования.[2]

Большинство программ-захватчиков постоянно изменяют настройки браузеров, что означает, что пользовательские настройки в их собственном браузере перезаписываются. Немного антивирусное программное обеспечение идентифицирует программы для перехвата браузера как вредоносные и может удалить их. Некоторые программы сканирования шпионского ПО имеют функцию восстановления браузера, чтобы вернуть настройки браузера пользователя в нормальное состояние или предупредить его об изменении страницы браузера.

Избегание

По состоянию на Microsoft Windows 10 веб-браузеры больше не могут устанавливать себя как пользовательские по умолчанию без дальнейшего вмешательства; изменение веб-браузера по умолчанию должно выполняться пользователем вручную на странице настроек «Приложения по умолчанию» якобы для предотвращения взлома браузера.[7]

Примеры угонщиков

Некоторые злоумышленники изменяют домашнюю страницу браузера, отображают рекламу и / или устанавливают поисковую систему по умолчанию; к ним относятся Astromenda (www.astromenda.com);[8][9][10] Панель инструментов Ask (ask.com); ESurf (esurf.biz) Бинкиленд (binkiland.com); Дельта и Кларо; Дрегол;[11] Jamenize; Mindspark; Groovorio; Сладкая страница; Mazy Search; Search Protect by Conduit вместе с search.conduit.com; и варианты;Туваро; Кран; en.4yendex.com, Yahoo и т. д.

Панель инструментов Babylon

Babylon Toolbar - это браузер-угонщик, который изменяет домашнюю страницу браузера и устанавливает поисковую систему по умолчанию на isearch.babylon.com. Это также форма рекламное ПО. Он отображает рекламу, спонсорские ссылки и ложные платные результаты поиска. Программа будет собирать поисковые запросы из ваших поисковых запросов.

Программное обеспечение для перевода Babylon предлагает добавить Панель инструментов Babylon по установке. Панель инструментов также поставляется в виде надстройки с другими загружаемыми программами.[12]

В 2011 г. CNet сайт Download.com начали связывать панель инструментов Babylon с пакетами с открытым исходным кодом, такими как Nmap. Гордон Лион, разработчик Nmap, был расстроен тем, как пользователи его программного обеспечения были обмануты при использовании панели инструментов.[13] Вице-президент Download.com Шон Мерфи принес извинения: Пакетирование этого программного обеспечения было ошибкой с нашей стороны, и мы приносим свои извинения сообществам пользователей и разработчиков за беспорядки, которые это вызвало.[14]

Существуют аналогичные варианты панели инструментов Babylon и домашней страницы поиска, включая Bueno Search, Delta Search, Claro Search и Search GOL. Согласно условиям обслуживания, все эти варианты принадлежат Вавилону.

Все панели инструментов были созданы Montiera.[15]

Conduit (Search Protect)

Трубопровод является ЩЕНКОМ / угонщиком. Он крадет личную и конфиденциальную информацию у пользователя и передает ее третьим лицам. Эта панель инструментов была идентифицирована как Потенциально нежелательные программы (ПНП) к Malwarebytes[16] и обычно поставляется вместе с бесплатными загрузками.[17][18] Эти панели инструментов изменяют поисковую систему браузера по умолчанию, домашнюю страницу, страницу новой вкладки и некоторые другие настройки браузера. Существуют аналогичные варианты поиска каналов, такие как trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb .com, наряду с другими вариантами, которые были созданы индивидуально для службы создания панелей инструментов, которую раньше предлагала Conduit Ltd.[нужна цитата ]

Программа под названием "Conduit Search Protect", более известная как "Search Protect by pipe", может вызывать серьезные системные ошибки при удалении. Он утверждает, что защищает настройки браузера, но фактически блокирует все попытки манипулировать браузером через страницу настроек; другими словами, он следит за тем, чтобы вредоносные настройки оставались неизменными. Search Protect имеет возможность изменить домашнюю страницу поиска с «рекомендованной» домашней страницы поиска Trovi, однако пользователи сообщают, что она возвращается обратно на Trovi через некоторое время.[нужна цитата ]Программа удаления Search Protect может привести к невозможности загрузки Windows, поскольку файл удаления удаляет не только собственные файлы, но и все загрузочные файлы в корне диска C :.[нужна цитата ] и оставляет файл BackGroundContainer.dll в реестре запуска.[19] Conduit связан с вредоносное ПО, шпионское ПО, и рекламное ПО, поскольку жертвы этого угонщика сообщали о нежелательных всплывающих окнах и встроенных в текст рекламных объявлениях на сайтах без рекламы.

Perion Network Ltd. приобрела бизнес Conduit ClientConnect в начале января 2014 года.[20] а позже стал партнером Lenovo для создания Lenovo Browser Guard,[21] который использует компоненты Search Protect.

Жертвы нежелательных перенаправлений на сайт pipeline.com также сообщали, что подверглись атакам с помощью попыток фишинга и получили нежелательный спам, нежелательную почту, другие сообщения и телефонные звонки от продавцов телемаркетинга. Некоторые жертвы утверждают, что звонившие утверждали, что они были Apple, Microsoft или их Интернет-провайдер, и им сообщают, что в некоторых телефонных звонках использовалась личная информация, и что некоторые из звонков касались их привычек просмотра и недавней истории просмотров. Личная информация, используемая при попытках фишинга, может быть связана со шпионским ПО.[22]

Сервер купонов

Сервер купонов - это рекламное ПО программа в комплекте с несколькими бесплатными приложениями, которые пользователи могут загружать из Интернета. Эта программа может появиться на ПК без ведома пользователя. Сервер купонов может показаться полезным, но может быть навязчивым и показывать рекламу без разрешения пользователя.[23] Сервер купонов также считается вредоносным доменом и браузер угонщик. Это захватит ваш интернет браузер и принудительно привести пользователя на свою домашнюю страницу, которая замаскирована под законную поисковую систему, чтобы обмануть посетителей и заставить их использовать сайт. Он также направит браузер на подозрительный домен и изменит настройки браузера.

istartsurf.com

Угонщик браузера istartsurf.com может заменить предпочтительные инструменты поиска. Эта инфекция распространяется в комплекте со сторонними приложениями, и ее установка может быть тихой. Из-за этого пострадавшие пользователи не знают, что угонщик заразил их Internet Explorer, Гугл Хром или же Mozilla Firefox браузеры.[24]

Search-daily.com

Search-daily.com угонщик, который может быть загружен Zlob троян. Он перенаправляет поисковые запросы пользователя на порнография места. Также известно, что он снижает производительность компьютера.[25]

Snap.do

Snap.do (Smartbar, разработанный Resoft) - это потенциальное вредоносное ПО, классифицируемое как угонщик браузера и шпионское ПО, которое заставляет интернет-браузеры перенаправлять на поисковую систему snap.do. Snap.Do можно загрузить вручную с веб-сайта Resoft, хотя многие пользователи попадают в ловушку своих неэтичных условий. Он влияет на Windows и может быть удален через меню «Добавить / удалить программу». Snap.Do также может загружать множество вредоносных панелей инструментов, надстроек и надстроек, таких как DVDVideoSoftTB, General Crawler и Save Valet.

Известно, что General Crawler, установленный Snap.do, использует бэкдорный процесс, потому что он переустанавливается и повторно включает себя каждый раз, когда затронутый пользователь удаляет его через свой браузер (а).

Snap.do отключит возможность изменения домашней страницы и поисковой системы по умолчанию.

Resoft будет отслеживать следующую информацию:

  • Интернет-домен и IP-адрес, с которого пользователь получает доступ к Продуктам Resoft (местоположение, идентификатор и т. Д.)
  • Разрешение экрана монитора (дисплея) компьютера пользователя
  • Дата и время, когда пользователь намеренно или же непреднамеренно доступ к продуктам Resoft
  • Страницы, которые пользователь посещает с Продуктами Resoft (со знанием или без знания использования продуктов Resoft, Snap.do)
  • Если пользователь охотно или же неохотно связана с сайтом Resoft с другого ссылающегося сайта, адрес этого сайта

Используя Продукты Resoft, пользователь дает согласие на передачу и обработку своих персональных данных как в Соединенных Штатах Америки, так и за их пределами.

Используя веб-сайт Resoft, пользователь соглашается на предыдущее использование его информации таким образом Resoft.[26]

Установщик SourceForge

Предыдущий установщик SourceForge включены установщики рекламного ПО и ПНП.[27]

Один из них изменяет настройки браузера Firefox, Chrome и Internet Explorer, чтобы показать веб-сайт istartsurf.com в качестве домашней страницы. Это достигается путем изменения настроек реестра и установки программного обеспечения, которое сбрасывает настройки, если пользователь пытается их изменить.

1 июня 2015 года SourceForge заявила, что перестала связывать «сторонние предложения» с неподдерживаемыми проектами SourceForge.[28]

Востеран

Vosteran - это угонщик браузера, который изменяет домашнюю страницу браузера и поисковую систему по умолчанию на vosteran.com. Эта инфекция по существу связана с другими сторонними приложениями. Востеран является переносчиком вируса ПНП. Личность Востерана защищена сайтом privacyprotect.org из Австралии. Востеран зарегистрирован через Whiteknight.[29]

Trovi

Его можно найти при установке «Cheat Engine» или другой версии «VLC Player» на сайте www.oldapps.com или при загрузке приложений с некоторых бесплатных сайтов, таких как Softonic.com или Download.com.

Trovi использует Bing (законную поисковую систему) для предоставления результатов пользователю. Хотя при отображении результатов поиска адресная строка меняется на Bing.com, ключевые слова для поиска все равно выполняются через Trovi. Раньше Trovi использовала собственный веб-сайт для отображения результатов поиска с логотипом в верхнем левом углу страницы, но позже переключилась на Bing, пытаясь легче обмануть пользователей. Trovi не так опасен, как раньше, убирая рекламу из результатов поиска в зависимости от того, какой браузер используется, но по-прежнему считается угонщиком браузера.

Он также управляет настройками домашней страницы и новой вкладки, чтобы запретить возможность вернуть их к исходным настройкам. В зависимости от того, какой браузер используется, на странице может появляться реклама.

Когда он заражает, он заставляет браузер перенаправлять с Google и некоторых других поисковых систем на trovi.com.[30]

Trovi был создан с использованием Сервис создания панели инструментов Conduit и известно, что он может заражать аналогично панели инструментов Conduit.

Рекомендации

  1. ^ «Исправление взлома браузера и удаление взлома браузера». Microsoft. Получено 23 октября 2012.
  2. ^ а б «Критерии потенциально нежелательной программы Malwarebytes». Malwarebytes.
  3. ^ «Рейтинг лучших антивирусных решений». Арстехника. 2009-12-15. Получено 28 января 2014.
  4. ^ «Энциклопедия угроз - стандартное нежелательное ПО». Trend Micro. Получено 27 ноября 2012.
  5. ^ «Критерии ЩЕНКА». Malwarebytes.
  6. ^ Мук, Нейт (06.09.2006). "EarthLink критикуют за перенаправление DNS". betaNews. Получено 9 мая 2012.
  7. ^ «Mozilla обвиняет Microsoft в том, что она усложняет переход на Firefox в Windows 10». Грани. Vox Media. 2015-07-30. Получено 18 октября, 2015.
  8. ^ «ПУА.Астроменда». symantec.com.
  9. ^ "Как удалить поиск Astromenda из вашего браузера". Lavasoft.
  10. ^ "Удалите Astromenda, Buzzdock и панель инструментов Extended Update из своего браузера". norton.com.
  11. ^ "Удаление Dregol Search | Руководство по удалению".
  12. ^ Избавление от Вавилона Джей Ли, Хьюстонские хроники, 25 июля 2012 г.
  13. ^ Download.com извините за то, что связал Nmap с программным обеспечением Регистр 9 декабря 2011 г.
  14. ^ Примечание Шона относительно установщика Download.com В архиве 2012-07-27 в Wayback Machine Download.com 7 декабря 2011 г.
  15. ^ [1]
  16. ^ «Как удалить Search Protect от Conduit Ltd». Lavasoft. 2013-06-01. Получено 2013-10-12.
  17. ^ «Объедините свое программное обеспечение с настраиваемой панелью инструментов и начните зарабатывать деньги». Conduit Ltd. 2013. Архивировано с оригинал на 2014-03-31. Получено 2013-10-12.
  18. ^ «Загрузи меня II. Удаление остатков самых опасных поисковых запросов в Интернете». Ars Technica. 2013-08-25. Получено 2013-10-12.
  19. ^ «Исправление BackgroundContainer.dll, оставленного Conduit Ltd». приложения. Получено 20 марта 2015.
  20. ^ «Perion завершает приобретение Conduit's ClientConnect, создавая ведущего поставщика цифровых решений для издателей» (Пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Деловой провод. 2014-01-02. Получено 2015-06-07.
  21. ^ «Perion сотрудничает с Lenovo для создания Lenovo Browser Guard» (Пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Деловой провод. 2014-06-18. Получено 2015-06-07.
  22. ^ "Как удалить Search Protect By Conduit Ltd". Lavasoft. Получено 3 декабря 2014.
  23. ^ "Удалить вирус" Ads by Coupon Server (Руководство по удалению) ". Удалить вирус "Ads by Coupon Server" (Руководство по удалению). Стелиан Пилич. Получено 25 марта, 2014.
  24. ^ "Убрать istartsurf". support.kaspersky.com. Лаборатория Касперского. Получено 24 июн 2010.
  25. ^ «Взломщик браузера» (PDF). MySearchCorp. Получено 3 июля 2012.[постоянная мертвая ссылка ]
  26. ^ «Как удалить браузер-угонщик Snap.Do». Lavasoft. Получено 4 августа 2014.
  27. ^ [2]
  28. ^ «Сторонние предложения будут представлены только в проектах Opt-In - блог сообщества SourceForge». Блог сообщества SourceForge. 2015-06-01. Получено 2018-08-16.
  29. ^ "Убрать Востерана". Как удалить. 2014-11-25. Получено 25 ноября 2014.
  30. ^ Как легко удалить перенаправление поиска Trovi (Справочное руководство по вирусам). вредоносное ПО