Mi página de inicio fue cambiada a la fuerza a 8749, pero muchos métodos no funcionaron. ¿Qué debo hacer?
1. ¿Quién engañó al navegador?
Hoy es el segundo día del Año Nuevo Lunar. Muchos invitados vinieron a la casa del Sr. Wang, lo que hizo que el Sr. Wang, que normalmente trabajaba duro, se sintiera muy ansioso. Debido a que varios niños traídos por invitados clamaban por salir y navegar por Internet, el Sr. Wang no tuvo más remedio que dejar que estos niños jugaran en la computadora del dormitorio. Finalmente, al anochecer, los invitados estaban exhaustos. El Sr. Wang quería buscar noticias en línea antes de tomar un descanso, pero cuando abrió IE, descubrió que se conectaba automáticamente a un sitio web inexplicable. Y hay algunos sitios web extraños en mis favoritos. Al Sr. Wang le preocupaba que su sistema estuviera infectado con un virus, por lo que rápidamente ingresó a un sitio web de herramientas antivirus en línea. Como resultado, IE abrió otro sitio web desconocido. Al observar la URL precisa de la herramienta antivirus en la barra de direcciones de IE y el contenido irrelevante a continuación, el Sr. Wang estaba realmente ansioso...
Creo que muchos usuarios han encontrado cosas extrañas similares. ¿Quién llevó nuestro navegador a un lugar extraño?
En los últimos años los ataques contra los navegadores han ido surgiendo uno tras otro. Los ataques de penetración a los navegadores se han convertido gradualmente en el objetivo principal de los intrusos para atravesar capas de defensas de los usuarios. Si bien la crisis de la "liberación" no se ha resuelto, al mismo tiempo está en marcha otro método de ataque: el "secuestro del navegador", un planificador que desvía deliberadamente la ruta del navegador.
El "secuestro del navegador" es un método de ataque a la red que es diferente de los métodos de infección de virus troyanos comunes. Penetra de muchas maneras. En la actualidad, la forma más común es alterar el navegador del usuario a través de BHO, complementos DLL, tecnología Hook, Winsock LSP y otros proveedores. Estos operadores pueden parasitar directamente el módulo del navegador, convertirse en parte del navegador y luego manipular directamente el comportamiento del navegador, desde llevar a los usuarios a su propia entrada hasta recopilar información confidencial de la computadora del usuario, poniendo en peligro la privacidad del usuario. Las consecuencias del "secuestro de navegador" son muy graves. Los usuarios sólo notarán la anomalía después de ser secuestrados, pero ya es demasiado tarde. Actualmente, el secuestro de navegadores se ha convertido en una de las mayores amenazas a las que se enfrentan los usuarios de Internet.
BHO, ¿eres un asistente o un enemigo?
¿Por qué están tan extendidos los secuestradores de navegador? Al revisar las publicaciones de ayuda en muchos foros, a menudo puedes ver cosas como "Mi página de inicio de IE ha sido cambiada y no se encontró ningún virus después de escanear con una herramienta antivirus. Cambié la página de inicio a mi propia dirección, pero volvió". ¡Tan pronto como reinicié!" "Tan pronto como se abra mi sistema, aparecerá un anuncio. ¡Obviamente estoy usando la última versión del software antivirus!" Al pedir ayuda sobre problemas anormales de IE, el 80% de los encuestados. estaban desconcertados. Habían instalado un software antivirus, pero IE todavía estaba pirateado. ¿Por qué?
De hecho, estos son fenómenos típicos de "secuestro de navegador", pero ¿la víctima no instaló un software antivirus? ¿Por qué los navegadores no pueden evitar esta mano negra? Muchos usuarios tienen un malentendido en este campo: ¿secuestro del navegador? ¡Tengo el último software antivirus y no tengo miedo!
Así que se sorprendieron cuando se encontraron con un "secuestrador de navegador".
Debes saber que el software antivirus en sí es sólo una herramienta auxiliar y no puede proteger completamente la seguridad del sistema. Es más, los usuarios de software antivirus deben saber que el método de ataque "secuestro del navegador" puede llevarse a cabo a través de "medios legales" reconocidos por el sistema. El software antivirus sólo puede utilizar "códigos de firma" para determinar si un programa es legal, pero esto se basa en definiciones artificiales. Puede haber muchos programas que implementen el "secuestro del navegador" y es difícil evitarlos.
¿Por qué es legal el "secuestro de navegador"? Porque la mayoría de los iniciadores del secuestro del navegador se implantan en el sistema a través de un medio técnico llamado "BHO" (objeto auxiliar del navegador).
BHO es un estándar industrial lanzado por Microsoft ya en 1999. Es una "interfaz interactiva" que permite a los programadores ingresar a los campos del navegador con un código simple. A través de la interfaz BHO, los programadores externos pueden escribir su propio código para obtener algunas acciones y eventos del navegador, como "atrás", "adelante", "página actual", e incluso obtener información sobre cada componente del navegador. como menús y herramientas.
Debido a la interactividad de BHO, los programadores también pueden usar código para controlar el comportamiento del navegador. Las operaciones comunes, como modificar y reemplazar las barras de herramientas del navegador, agregar sus propios botones de programa a la interfaz del navegador, se consideran "legales". principio de todo mal.
La aparición de BHO ayuda a los programadores a crear mejor navegadores personalizados o implementar funciones interactivas convenientes y concisas para sus propios programas. Se puede decir que sin el nacimiento de la interfaz BHO, hoy no podríamos utilizar algunas herramientas para realizar las funciones de IE personalizado. Desde cierta perspectiva, BHO es de hecho el héroe detrás de todo tipo de coloridas funciones de interacción de red, pero todo tiene dos lados. Esta eterna verdad también es válida para BHO, por lo que nació la industria de la seguridad que hoy está causando dolores de cabeza. Es un método de ataque.
Mira las características de la interfaz de BHO que mencioné anteriormente. ¿Qué opinas? BHO puede aprender e implementar la mayoría de los eventos y funciones del navegador, es decir, puede controlar el comportamiento del navegador con una pequeña cantidad de código. Los programadores pueden diseñar un botón BHO para notificar al navegador que salte a una página cuando el usuario hace clic para completar la función interactiva. Por supuesto, también pueden escribir una página para controlar que el navegador salte a la página a la que quiere que vaya el usuario. a. Este es el origen del "secuestro de navegador" original: el secuestro de BHO.
Antes de describir el evento de secuestro de BHO, introduzcamos brevemente el inicio de la interfaz BHO: escriba el código del programa que cumple con el estándar de la interfaz BHO en una DLL y regístrelo como un objeto COM en el registro. la entrada de registro de la interfaz BHO Registre el componente. Después de eso, cada vez que se inicia IE, este archivo DLL se cargará a través de la información de registro que se describe aquí. Por lo tanto, este archivo DLL se convierte en un módulo (componente BHO) de IE y disfruta de un ciclo de ejecución con IE hasta IE.
//Fuente del artículo: Network Technology Forum (tf.net) Autor: Xiaojin
Cuando se inicia IE, se cargarán todos los componentes de BHO y estos componentes ingresarán directamente al Dominio IE. IE se convertirá en su proceso principal y operador. A partir de entonces, cada evento de IE se pasará a la interfaz IObjectWithSite utilizada por BHO para proporcionar interacción. Esta es la función de entrada para que BHO interactúe con IE.
Después de recibir los parámetros de la interfaz de IE, BHO comienza a determinar qué está haciendo IE. En teoría, BHO puede obtener la mayoría de los eventos de IE y luego, según el código escrito por el programador, BHO tiene el poder de decisión para responder a eventos específicos, como un BHO que puede implementar un "sitio web chino". Es decir, obtenga la URL del sitio web actualmente abierta por IE a través del método GetSite (o mediante la interfaz IURLSearchHook). Si BHO encuentra que la URL obtenida coincide con las condiciones de juicio integradas, BHO habilitará el método SetSite para obligar a IE a saltar a la página establecida por el programador. Este proceso es uno de los métodos de "secuestro del navegador" que utiliza about:blank para alterar la página de inicio. Su principio de implementación es realmente muy simple. El programador escribe un componente BHO malicioso. Cuando obtiene el sitio actual de la ventana de IE como "acerca de: en blanco", obliga a IE a saltar a la página de publicidad especificada, provocando así el "secuestro de página en blanco de IE" que causó muchos ataques. alboroto no hace mucho".
Después de conocer este modus operandi tipo broma, es fácil solucionarlo. Basta con buscar y eliminar el programa BHO oculto en el sistema.
Además de este BHO "adware", existe otro BHO más encubierto implementado mediante la interfaz IURLSearchHook. Lo más probable es que este BHO no sea un BHO de alguna manera, porque no responde a IUnknown, sino que espera a que IE cree un IURLSearchHook para iniciarse. Los navegadores utilizan IURLSearchHook para traducir direcciones de protocolo URL desconocidas. Cuando un navegador intenta abrir una dirección URL de protocolo desconocido, primero intenta obtener el protocolo actual de esa dirección. Si no tiene éxito, el navegador buscará todos los objetos registrados como "enganches de búsqueda de URL" (USH) en el sistema y enviará direcciones que IE no puede comprender.
Si un objeto USH "conoce" esta dirección, devolverá un identificador específico para decirle a IE que sabe cómo abrir esta dirección, y luego IE lo llamará de acuerdo con el método acordado y finalmente abrirá esta dirección. De hecho, los objetos USH no son desconocidos. Algunos de nuestros usuarios perezosos a menudo no ingresan a "tf.net" para evitar problemas. Autor: Xiao Jin
De hecho, el BHO mencionado anteriormente también puede considerarse como un gancho para IE, enganchando los eventos de IE. Este es el punto de partida para la interacción entre IE y BHO. Pero para operaciones más complejas, como determinar si IE descarga una imagen GIF o una imagen JPEG, BHO no tiene poder porque solo sabe que los eventos de IE son DownloadBegin y DownloadComplete, e IE no le dirá el contenido específico; de lo contrario, IE muy confuso. Al menos nunca he visto a ningún líder tener que informar a la secretaria si almorzó pollo o pato. BHO no es la esposa de IE, o IE no tiene bronquitis.
Entonces, para obtener más datos sobre IE, los programadores comenzaron a enganchar IE. A diferencia de BHO, el gancho no necesita esperar pasivamente los eventos de IE. Forma directamente una relación superior-subordinada con IE, y todo lo que IE haga esta vez debe ser aprobado por él. Los controles estilo gancho no requieren una relación de componentes entre el archivo DLL y la clave de registro de IE. Puede ser una DLL independiente, iniciada por Rundll32.exe o su propio Loader EXE, y debido a que es de tipo gancho, el sistema la insertará automáticamente en el proceso de otros programas cuando el gancho sea efectivo. ¿No es un poco como un troyano DLL?
Después de cargar el programa de enlace de IE en el proceso, se pueden conocer todos los tipos de mensajes, API y contenidos. Una vez que se encuentra un mensaje que cumple con los requisitos, como un evento de ejecución de IE o un usuario que ingresa contenido específico, el código de procesamiento del enlace comienza a funcionar. Primero intercepta el mensaje enviado por el sistema a IE, luego analiza el contenido del mensaje y luego lo envía a IE de acuerdo con el contenido del mensaje diferente, completando así un proceso de manipulación de gancho. Tomemos como ejemplo la famosa búsqueda de nombre real 3721. Algunas personas pueden pensar que utiliza BHO o IURLSearchHook para completar el reconocimiento y salto de nombres de dominio chinos. De hecho, utiliza tecnología Hook que puede recibir primero los mensajes de Windows, evitando así que otros competidores se apropien de él. El programa principal de 3721 es una DLL de gancho. Supervisa los mensajes en la barra de direcciones de IE. Una vez que el usuario ingresa chino, interceptará este mensaje antes que otros complementos de BHO, llamará a su propio código para completar la traducción del nombre de dominio chino a la URL en inglés y luego devolverá (tal vez con su propia DLL de BHO) un mensaje a deje que IE salte al inglés La URL completa la traducción del nombre de dominio.
Los ganchos de IE pueden ayudar a los programadores a completar más trabajo interactivo de IE con una pequeña cantidad de código, pero una vez que los ganchos se utilizan para cometer delitos, las consecuencias serán graves. Los programadores maliciosos pueden escribir enlaces de teclado para interceptar entradas de IE y robar contraseñas. De esta manera, no importa si utiliza el protocolo de texto sin formato HTTP o el protocolo de cifrado SecurityHTTP, no puede escapar del resultado del robo de contraseñas, porque se centra en su entrada en IE y la transmisión de datos posterior ya no es importante.
Cuatro. Winsock LSP
El nombre completo es "Proveedor de servicios en capas de Windows Socket", que es una función que solo está disponible en Winsock 2.0. Requiere que Winsock sea compatible con la interfaz de proveedor de servicios (SPI), una tecnología que no funciona de forma independiente. Depende del proveedor de protocolo básico existente del fabricante del sistema, como el protocolo TCP/IP, etc. Los subprotocolos distribuidos en estos protocolos se denominan "protocolos en capas", como SSL, etc. Deben llamarse a través de ciertas funciones de interfaz, y LSP es la interfaz de estos protocolos.
A través de LSP, podemos obtener el contenido de datos que queremos más fácilmente que analizando el protocolo básico, como obtener directamente la dirección y el contenido del navegador que se ejecuta en el sistema, ya sea IE, Opera o Firefox. , porque LSP obtiene información directamente de Winsock. Incluso si no necesita un automóvil fabricado por Microsoft, al menos su automóvil ya está funcionando en la carretera fabricada por Microsoft.
Cuando se usa LSP en la dirección correcta, es conveniente para los programadores escribir rastreadores para monitorear las comunicaciones de red del sistema, pero ahora se usa LSP común para secuestrar navegadores, lo que brinda a los usuarios otra pesadilla.
5. ¿Remediar la situación cuando la situación se ha presentado, o estar preparados para el peligro en tiempos de paz?
Quizás la mayoría de los usuarios domésticos no comprenden la importancia de las precauciones de seguridad hasta que experimentan una intrusión o un incidente de envenenamiento. Por supuesto, es bueno compensar la situación antes de que sea demasiado tarde, pero ¿no sería mejor plantear sus propios requisitos y prepararse para un día lluvioso? Siempre confiamos en la tecnología de otras personas y en los métodos antivirus estandarizados, pero esas cosas siempre son cosas de otras personas y el control no puede estar en nuestras propias manos. Esto no es algo muy bueno. Quizás sea hora de abandonar el juego temporalmente, coleccionar películas estrella y aprender libros sobre seguridad y principios del sistema; de lo contrario, podemos perdernos en esta red insegura en cualquier momento.
Algunas personas pueden pensar que Xiao Jin vuelve a tener sentimientos. Posiblemente, dado que la eliminación del "secuestro del navegador" generalmente debe realizarse manualmente. Aunque existen muchas herramientas para detectar secuestros de navegador, como HijackThis, recuperación de secuestro de navegador, etc., si mantiene la idea de "siéntate y relájate tan pronto como comiences a escanear" como solías usar herramientas antivirus , descubrirás que estás realmente perdido. Debido a la particularidad de BHO (no lo olvides, es legal), estas herramientas solo te mostrarán el proceso del sistema, proyectos de BHO, elementos de inicio, LSP y otras cosas que requieren cierta base técnica para comprender, y luego podrás decide por ti mismo el IE del futuro. Si nunca ha prestado atención a la tecnología de seguridad, estas herramientas pueden parecerle un virus más que lo atormenta.
¿Aprender o no aprender? Este es un tema que debe ser considerado...