Взлом браузера

Взлом браузера - это форма нежелательного программного обеспечения, которое изменяет веб-браузер без разрешения пользователя, чтобы внедрить нежелательную рекламу в браузер пользователя. Угонщик браузера может заменить существующую домашнюю страницу, страницу ошибок или поисковую систему своей собственной. Обычно они используются для принудительного переходов на конкретный веб-сайт, что увеличивает его доход от рекламы.

Некоторые угонщики браузера также содержат шпионское ПО, например, некоторые устанавливают программный кейлоггер для сбора такой информации, как банковские реквизиты и данные аутентификации электронной почты. Некоторые угонщики браузеров могут также повредить реестр в системах Windows, часто навсегда.

Некоторые случаи взлома браузера можно легко отменить, в то время как другие случаи может быть трудно отменить. Существуют различные программные пакеты, предотвращающие такую ​​модификацию.

Многие программы для взлома браузера включены в пакеты программного обеспечения, которые не были выбраны пользователем, и включены как «предложения» в установщик для другой программы, часто включаемые без инструкций по удалению или документации о том, что они делают, и представлены таким образом, чтобы сбить с толку обычного пользователя, чтобы заставить его установить нежелательное дополнительное программное обеспечение.

Есть несколько методов, которые злоумышленники используют для доступа к операционной системе. Вложения электронной почты и файлы, загружаемые через подозрительные веб-сайты и торренты, являются распространенной тактикой, которую используют угонщики браузеров.

• 1 Общие сведения
  • 1.1 Незаконное программное обеспечение безопасности
  • 1.2 Несуществующие страницы домена
  • 1.3 Работа
• 2 Предотвращение
• 3 Примеры угонщиков
  • 3.1 Панель инструментов Babylon
  • 3.2 Conduit (Search Protect)
  • 3.3 Сервер купонов
  • 3.4 istartsurf.com
  • 3.5 Search-daily.com
  • 3.6 Snap.do
  • 3.7 Установщик SourceForge
  • 3.8 Vosteran
  • 3.9 Trovi
• 4 Ссылки

Незаконное ПО безопасности

Некоторые мошеннические средства безопасности программное обеспечение также захватит стартовую страницу, обычно отображая сообщение, такое как «ВНИМАНИЕ! Ваш компьютер заражен шпионским ПО!» чтобы перейти на страницу поставщика антишпионского ПО. Начальная страница вернется к нормальным настройкам, как только пользователь купит программное обеспечение. Такие программы, как WinFixer, как известно, захватывают стартовую страницу пользователя и перенаправляют ее на другой веб-сайт.

Несуществующие доменные страницы

Система доменных имен запрашивается, когда пользователь вводит имя веб-сайта (например, wikipedia.org), и DNS возвращает IP-адрес сайта, если он существует. Если пользователь неправильно введет имя веб-сайта, DNS вернет ответ о несуществующем домене (NXDOMAIN).

В 2006 году EarthLink начал перенаправлять доменные имена с ошибками на страницу поиска. Это было сделано путем интерпретации кода ошибки NXDOMAIN на уровне сервера. Объявление вызвало много негативных отзывов, и EarthLink предлагала услуги без этой функции.

Операция

Нежелательные программы часто не содержат никаких указаний на то, что они установлены, а также инструкций по удалению или отказу от использования.

Большинство программ-злоумышленников постоянно изменяют настройки браузеров, что означает, что выбор пользователя в их собственном браузере перезаписывается. Некоторое антивирусное программное обеспечение идентифицирует программы для взлома браузера как вредоносные и может удалить их. Некоторые программы сканирования шпионского ПО имеют функцию восстановления браузера, чтобы вернуть настройки браузера пользователя в нормальное состояние или предупредить его об изменении страницы браузера.

Начиная с Microsoft Windows 10, веб-браузеры больше не могут устанавливать себя по умолчанию для пользователя без дальнейшего вмешательства; изменение веб-браузера по умолчанию должно выполняться пользователем вручную на странице настроек «Приложения по умолчанию», якобы для предотвращения взлома браузера.

Некоторые угонщики изменяют домашнюю страницу браузера, отображать рекламу и / или установить поисковую систему по умолчанию; к ним относятся: Astromenda (www.astromenda.com); Панель инструментов Ask (ask.com); ESurf (esurf.biz) Бинкиленд (binkiland.com); Дельта и Кларо ; Дрегол ; Джамениз ; Искра разума ; Груворио ; Милая страница; Mazy Search; Search Protect by Conduit вместе с search.conduit.com; и варианты ; Туваро ; Патрубок ; en.4yendex.com, Yahoo и т. д.

Панель инструментов Babylon

Панель инструментов Babylon - это программа-захватчик браузера, которая изменяет домашнюю страницу браузера и устанавливает поисковую систему по умолчанию на isearch.babylon.com. Это также форма рекламного ПО. Он отображает рекламу, спонсорские ссылки и ложные платные результаты поиска. Программа будет собирать поисковые запросы из ваших поисковых запросов.

Программа перевода Babylon предлагает добавить панель инструментов Babylon при установке. Панель инструментов также поставляется в комплекте с другими загружаемыми программами.

В 2011 году сайт CNet Download.com начал объединять панель инструментов Babylon с открытыми версиями. исходные пакеты, такие как Nmap. Гордон Лайон, разработчик Nmap, был расстроен тем, как пользователей его программы обманом заставляли использовать панель инструментов. Вице-президент Download.com Шон Мерфи принес извинения: объединение этого программного обеспечения было ошибкой с нашей стороны, и мы приносим свои извинения сообществам пользователей и разработчиков за беспорядки, которые это вызвало.

Подобные варианты панели инструментов Babylon и домашней страницы поиска, включая Bueno Search, Delta Search, Claro Search и Search GOL. Согласно условиям обслуживания, все эти варианты принадлежат Вавилону.

Все панели инструментов были созданы Montiera.

Conduit (Search Protect)

Conduit является ПНП / угонщиком. Он крадет личную и конфиденциальную информацию у пользователя и передает ее третьим лицам. Эта панель инструментов была идентифицирована Malwarebytes как потенциально нежелательные программы (ПНП) ​​и обычно поставляется вместе с бесплатными загрузками. Эти панели инструментов изменяют поисковую систему браузера по умолчанию, домашнюю страницу, страницу новой вкладки и некоторые другие настройки браузера. Существуют аналогичные варианты поиска по каналу, такие как trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb.com, наряду с другими вариантами, которые были созданы индивидуально для службы создания панелей инструментов, которую предлагала Conduit Ltd.

Программа под названием «Conduit Search Protect», более известная как «Search Protect by pipeline», может вызвать серьезные системные ошибки при удалении. Он утверждает, что защищает настройки браузера, но фактически блокирует все попытки манипулировать браузером через страницу настроек; Другими словами, он гарантирует, что вредоносные настройки остаются неизменными. Search Protect имеет возможность изменить домашнюю страницу поиска с "рекомендуемой" домашней страницы поиска Trovi, однако пользователи сообщают, что она возвращается обратно на Trovi через некоторое время. Программа удаления Search Protect может привести к невозможности загрузки Windows из-за Файл удаления удаляет не только собственные файлы, но и все загрузочные файлы в корне диска C :. и оставляет файл BackGroundContainer.dll в реестре запуска. Conduit связан с вредоносным ПО, шпионским ПО и рекламным ПО, поскольку жертвы этого угонщика сообщали о нежелательных всплывающих окнах и встроенной в текстовую рекламу на сайтах без Объявления.

Perion Network Ltd. приобрела бизнес Conduit ClientConnect в начале января 2014 года, а позже стала партнером Lenovo для создания Lenovo Browser Guard, использующего компоненты Search Protect.

Жертвы нежелательных перенаправлений на pipelineit.com также сообщали, что они подверглись атакам с помощью попыток фишинга и получили нежелательный спам, нежелательную почту, другие сообщения и телефонные звонки от продавцов телемаркетинга. Некоторые жертвы утверждают, что звонившие утверждали, что они были Apple, Microsoft или их интернет-провайдером, и им сообщили, что в некоторых телефонных звонках использовалась личная информация, и что некоторые из звонков касались их привычек просмотра и недавней истории просмотра.. Личная информация, используемая при попытках фишинга, может быть связана со шпионским ПО.

Сервер купонов

Сервер купонов - это рекламное ПО, объединенное с несколькими бесплатными приложениями, которые можно загрузить из Интернета. пользователями. Эта программа может появиться на ПК без ведома пользователя. Сервер купонов может показаться полезным, но может быть навязчивым и показывать рекламу без разрешения пользователя. Coupon Server также рассматривается как вредоносный домен и браузер угонщик. Он захватит ваш Интернет-браузер и принудительно приведет пользователя на его домашнюю страницу, которая замаскирована под законную поисковую систему, чтобы обманом заставить посетителей использовать веб-сайт. Он также направит браузер на подозрительный домен и изменит настройки браузера.

istartsurf.com

Угонщик браузера istartsurf.com может заменить предпочтительные инструменты поиска. Эта инфекция распространяется в комплекте со сторонними приложениями, и ее установка может быть тихой. Из-за этого пострадавшие пользователи не знают, что угонщик заразил их браузеры Internet Explorer, Google Chrome или Mozilla Firefox.

Поиск -daily.com

Search-daily.com - это угонщик, который может быть загружен трояном Zlob. Он перенаправляет запросы пользователя на порнографии сайтов. Также известно, что он снижает производительность компьютера.

Snap.do

Snap.do (Smartbar, разработанный Resoft) - это потенциальное вредоносное ПО, классифицируемое как угонщик браузера и шпионское ПО, вызывающее интернет-браузеры для перенаправления в поисковую систему snap.do. Snap.Do можно загрузить вручную с веб-сайта Resoft, хотя многие пользователи попадают в ловушку своих неэтичных условий. Он влияет на Windows и может быть удален через меню «Добавить / удалить программу». Snap.Do также может загружать множество вредоносных панелей инструментов, надстроек и надстроек, таких как DVDVideoSoftTB, General Crawler и Save Valet.

General Crawler, установленный Snap.do, как известно, использует бэкдорный процесс, потому что он переустанавливается и повторно включает себя каждый раз, когда затронутый пользователь удаляет его через свой браузер (а).

Snap.do отключит возможность изменения домашней страницы и поисковой системы по умолчанию.

Resoft будет отслеживать следующую информацию:

• Интернет-домен и IP-адрес, с которого пользователь получает доступ к Продуктам Resoft (местоположение, идентификатор и т. Д.)
• Разрешение экрана компьютера пользователя монитор (дисплей)
• Дата и время, когда пользователь намеренно или непреднамеренно получает доступ к продуктам Resoft
• Страницы, которые пользователь посещает с продуктами Resoft (со знанием или без знания об использовании продуктов Resoft, Snap. do)
• Если пользователь добровольно или неохотно перешел на веб-сайт Resoft с другого ссылающегося веб-сайта, адрес этого сайта

Используя Продукты Resoft, пользователь дает согласие на передачу и обработку своих личных данных как внутри, так и за пределами Соединенных Штатов Америки.

Используя веб-сайт Resoft, пользователь соглашается на предыдущее использование его информации таким образом компанией Resoft.

Установщик SourceForge

Предыдущий установщик SourceForge включены установщики рекламного ПО и ПНП.

Один из них изменяет настройки браузера Firefox, Chrome и Internet Explorer, чтобы показать веб-сайт istartsurf.com в качестве домашней страницы. Это достигается путем изменения настроек реестра и установки программного обеспечения, которое сбрасывает настройки, если пользователь пытается их изменить.

1 июня 2015 года SourceForge заявила, что они перестали связывать «сторонние предложения» с неподдерживаемыми проектами SourceForge.

Vosteran

Vosteran - это угонщик браузера, который изменяет настройки браузера. домашняя страница и поисковая система по умолчанию для vosteran.com. Эта инфекция по существу связана с другими сторонними приложениями. Востеран является переносчиком вируса ПНП. Личность Востерана защищена сайтом privacyprotect.org из Австралии. Vosteran зарегистрирован через Whiteknight.

Trovi

Его можно найти при установке «Cheat Engine» или другой версии «VLC Player» на www.oldapps.com или при загрузке приложений с определенные бесплатные сайты, такие как Softonic.com или Download.com.

Trovi использует Bing (законную поисковую систему) для предоставления результатов пользователю. Хотя при отображении результатов поиска адресная строка меняется на Bing.com, ключевые слова для поиска все равно выполняются через Trovi. Раньше Trovi использовала собственный веб-сайт для отображения результатов поиска с логотипом в верхнем левом углу страницы, но позже переключилась на Bing, пытаясь легче обмануть пользователей. Trovi не так опасен, как раньше, убирая рекламу из результатов поиска в зависимости от того, какой браузер используется, но по-прежнему считается угонщиком браузера.

Он также управляет настройками домашней страницы и новой вкладки, чтобы запретить возможность вернуть их к исходным настройкам. В зависимости от того, какой браузер используется, на странице может появляться реклама.

Когда он заражает, он перенаправляет браузер с Google и некоторых других поисковых систем на trovi.com.

Trovi был создан с использованием службы создания панели инструментов Conduit и имеет известно, что заражение происходит аналогично панели инструментов Conduit.

1. ^«Исправление взлома браузера и удаление взлома браузера». Microsoft. Проверено 23 октября 2012 г.
2. ^ «Критерии потенциально нежелательной программы для Malwarebytes». Malwarebytes.
3. ^«Рейтинг лучших решений для защиты от вредоносных программ». Арстехника. 2009-12-15. Проверено 28 января 2014 г.
4. ^«Энциклопедия угроз - стандартное нежелательное ПО». Trend Micro. Проверено 27 ноября 2012 г.
5. ^«Критерии ПНП». Malwarebytes.
6. ^Мук, Нейт (06.09.2006). «EarthLink подвергается критике за перенаправление DNS». betaNews. Проверено 9 мая 2012 г.
7. ^«Mozilla обвиняет Microsoft в том, что она усложняет переход на Firefox в Windows 10». Грань. Vox Media. 2015-07-30. Проверено 18 октября 2015 г.
8. ^«PUA.Astromenda». symantec.com.
9. ^«Как удалить поиск Astromenda из вашего браузера». Lavasoft.
10. ^«Удалите из браузера Astromenda, Buzzdock и панель инструментов расширенного обновления». norton.com.
11. ^«Удаление Dregol Search | Руководство по удалению».
12. ^Избавление от Вавилона Джей Ли, The Houston Chronicle, 25 июля 2012 г.
13. ^Download.com извиняется за объединение Nmap с программным обеспечением The Register 9 декабря 2011 г.
14. ^Заметка Шона относительно установщика Download.com Архивировано 27 июля 2012 г. на Wayback Machine Download.com 7 декабря, 2011
15. ^[1]
16. ^«Как удалить Search Protect от Conduit Ltd». Lavasoft. 2013-06-01. Проверено 12 октября 2013 г.
17. ^«Объедините свое программное обеспечение с настраиваемой панелью инструментов и начните зарабатывать деньги». Кондуит Лтд. 2013. Архивировано с оригинального 31 марта 2014 г. Проверено 12 октября 2013 г.
18. ^«Загрузи меня II. Удаление остатков наиболее опасных поисковых запросов в Интернете». Арс Техника. 2013-08-25. Проверено 12 октября 2013 г.
19. ^«Исправление BackgroundContainer.dll, оставленного Conduit Ltd». appuals. Проверено 20 марта 2015 г.
20. ^«Perion завершает приобретение ClientConnect компании Conduit, создавая ведущего поставщика цифровых решений для издателей» (пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Деловой провод. 2014-01-02. Проверено 7 июня 2015 г.
21. ^«Perion сотрудничает с Lenovo для создания Lenovo Browser Guard» (пресс-релиз). Тель-Авив, Израиль; Сан-Франциско. Деловой провод. 2014-06-18. Проверено 7 июня 2015 г.
22. ^«Как удалить Search Protect By Conduit Ltd». Lavasoft. Проверено 3 декабря 2014 г.
23. ^"Удалить" Ads by Coupon Server "virus (Removal Guide)". Удалите вирус «Ads by Coupon Server» (Руководство по удалению). Стелиан Пилич. Проверено 25 марта 2014 г.
24. ^«Удалить istartsurf». support.kaspersky.com. Лаборатория Касперского. Проверено 24 июня 2010 г.
25. ^«Browser Hijacker» (PDF). MySearchCorp. Проверено 3 июля 2012 г.
26. ^«Как удалить программу-захват браузера Snap.Do». Lavasoft. Проверено 4 августа 2014 года.
27. ^[2]
28. ^«Сторонние предложения будут представлены только с проектами Opt-In - блог сообщества SourceForge». Блог сообщества SourceForge. 2015-06-01. Проверено 16 августа 2018 г.
29. ^«Удалить Востерана». Как удалить. 2014-11-25. Проверено 25 ноября 2014 г.
30. ^Как легко удалить перенаправление поиска Trovi (Справочное руководство по вирусам). malwaretips.com