從互聯網誕生至今,無論是技術黨,還是普通網民,相信每一個人都曾經或正在被一個問題所困擾:
為什麼我的瀏覽器主頁總是莫名其妙變成了XXXX網站?
在網上,諸如“瀏覽器主頁被XX網址大全篡改無法修改怎麼辦?”的求助帖也層出不窮,包括專業IT技術社區CDSN網站。
擴展迷也經常在後臺收到各種用戶諮詢:
為什麼我明明已經安裝了infinity新標籤頁插件,但是打開瀏覽器主頁還是XXXX導航網址?
更令人頭疼的是,這種時候,即使你想手動修改回原來的瀏覽器主頁,都可能無能為力。
大部分情況下,用戶都是在下載安裝了一些流氓軟件後,才會出現主頁被劫持鎖定的情況。
國家計算機病毒應急處理中心的一則公告。
公告稱,通過對互聯網的監測,發現暴風激活工具15.0攜帶惡性病毒「麻辣香鍋」劫持用戶瀏覽器主頁。
「麻辣香鍋」病毒最主要的目的,就是劫持用戶瀏覽器主頁,幾乎所有主流瀏覽器的主頁都會被該病毒篡改並進行鎖定。
谷歌Chrome、火狐Firefox、IE瀏覽器、淘寶瀏覽器、百度瀏覽器、搜狗瀏覽器、QQ瀏覽器和UC瀏覽器等等,都是它的劫持對象。
瀏覽器主頁被劫持後會被強制鎖定,因此用戶無法修改,即便手動修改主頁在瀏覽器重啟後會再次遭到篡改。
如同「麻辣香鍋」這樣的病毒,在網絡世界中可以說是不計其數。
3月6日,在火絨安全實驗室官網上,發佈了一篇最新的安全報告。
一直以來,下載站都是眾多流氓軟件的主要傳播渠道之一。報告中顯示,近日火絨工程師發現2345旗下“多特下載站”的下載器(高速下載)正在實施傳播木馬程序的惡意行為。
用戶下載運行該下載器後,會立即被靜默植入一款名為“commander”的木馬程序,該木馬程序會在後臺運行,並根據雲控配置推送彈窗廣告和流氓軟件。
即使用戶關閉下載器,“commander”仍然會一直駐留用戶系統。
多特下載器除了靜默推廣軟件之外,還會根據其配置下載具有瀏覽器鎖首,以及添加瀏覽器書籤功能的流氓程序DTPageSet.exe。
也就是說,該下載器還會釋放病毒劫持用戶瀏覽器首頁,用以推廣廣告程序。
以搜狗瀏覽器為例,DTPageSet.exe修改瀏覽器配置文件來鎖定瀏覽器主頁的相關代碼和現象如下圖所示:
DTPageSet.exe惡意添加瀏覽器書籤相關配置信息如下圖所示:包括聚划算、愛淘寶(返利網站)、百度、網址大全、傳奇私服(遊戲推廣)等。
根據火絨工程師對木馬程序 “commander”的詳細分析,該程序會在用戶不知情下被靜默安裝至電腦中。
更重要的是,該程序在開始菜單、桌面等位置均沒有創建相關的啟動快捷方式,導致用戶難以發現該軟件的存在。
同時,其廣告推廣模塊會在後臺偷偷運行,不停的進行廣告推送、靜默推廣其它軟件,嚴重影響了用戶正常使用電腦。
這些廣告彈窗以所謂的熱點資訊為噱頭中間夾雜著各種垃圾廣告,甚至某些廣告還有各種露骨廣告誘導用戶點擊。
為了躲避安全軟件的查殺,該木馬程序還會主動檢測用戶電腦中是否安裝安全軟件和工具。
或許是為了規避監管部門查處,木馬運行時還會檢測用戶所在地區規避某些重點城市即這些地區不執行動作。
被檢測的城市包括:北京、上海、廣州、珠海、杭州、西安、馬鞍山、蘇州、武漢、天津、合肥。
截至目前,被“commander”木馬程序靜默推廣的軟件共有9款,包括趣壓、拷貝兔、小白看圖等,且這些被靜默安裝的軟件與“commander”木馬程序系同源流氓軟件。
在網上搜索後發現,去年9月已有用戶在貼吧發帖稱:
拷貝兔軟件安裝後,會自動捆綁安裝一系列自家軟件,彈窗廣告滿天飛,卸載又自動裝回,無法徹底卸載。
據火絨公佈的數據來看,目前受到影響的瀏覽器如下圖所示:包括了360安全瀏覽器、谷歌瀏覽器、火狐瀏覽器、QQ瀏覽器等幾乎所有國內主流瀏覽器。
火絨實驗室表示,木馬程序、流氓軟件與類似“多特”這樣的下載站之間早已形成了一條完整的黑色產業鏈:
下載站通過木馬程序、病毒,來靜默推廣流氓軟件,以此獲取軟件廠商提供的利益;流氓軟件被傳播到用戶電腦後,也會實施捆綁、彈窗等惡意推廣其它軟件的行為,從中獲取利潤。
一旦用戶下載此類下載器或流氓軟件,就會陷入“瘋狂”的被靜默安裝與推廣的陷阱中。
通常,這類下載站被檢測到病毒等惡意行為後都會撤掉木馬躲避風頭,待風聲過去繼續投放木馬侵害消費者的權益。
眾所周知,瀏覽器是個人電腦通往互聯網世界的主要入口。一定程度上講,控制了瀏覽器,也就掌握了用戶的流量導向。
顯然,“瀏覽器主頁劫持”的背後,隱藏著巨大的商業利益。
而國內的一些知名導航網站,近年來也因為“劫持瀏覽器主頁”的問題備受爭議,其中2345網址導航更是被頻頻點名。
而早在2015年11月,中國大陸首起流量劫持刑案就已在上海市浦東新區人民法院判決。
該案中,付某、黃某等人租賃多臺服務器,使用惡意代碼修改互聯網用戶路由器的DNS設置,進而使用戶登錄“2345.com”等導航網站時,跳轉至其設置的“5w.com”導航網站。
最終兩名被告人被判有期徒刑三年,緩刑三年。
所謂“富貴險中求”,顯而易見,在利益的誘惑下,走上流量劫持之路的人仍不在少數。
最後,火絨工程師及擴展迷再次提醒廣大用戶,一定要通過官網等正規渠道下載軟件,謹慎使用下載站等第三方下載器下載軟件。
閱讀更多 一起閱讀吧2020 的文章
