浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器(IE等)被恶意程序修改。
浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP 等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器(IE 等)被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。
2019 年 5 月,工信部表示将严惩浏览器主页劫持行为。
定义分类
“浏览器劫持”,通俗点说就是故意误导浏览器的行进路线的一种现象,常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE 浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等,不少用户都深受其害。
浏览器劫持从软件方面来说,它是一种恶意程序,通过 DLL 插件、BHO、WinsockLSP 等形式对用户的浏览器进行篡改,使用户浏览器出现访问正常网站时被转向到恶意网页、IE 浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常情况。
浏览器劫持从技术方面来说,它是一种常见的在线攻击类型,黑客可通过这种方式控制的计算机的浏览器,并更改网上冲浪的方式和冲浪时所显示的内容。
浏览器劫持分为多种不同的方式,从最简单的修改 IE 默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。
浏览器一旦被劫持,就意味这用户无法决定自己的电脑里将被存放进什么资料,这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱,单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。
危害
浏览器劫持以及相应的色情网站还会引起其他非计算机的问题产生。员工在上班时浏览到色情网页可能会造成失业;用户可能通过浏览色情网站访问到非法内容;甚至个人的社会关系由于色情网站的影响会逐渐减少,等等。在美国,一个俄国移民就是由于浏览儿童色情内容而被指控并判有罪,他辩护时称自己不过是一个浏览器劫持的牺牲品而已,但这无济于事。
浏览器劫持(browser hijacker)还可能给你的机器安装木马一类的软件。这种情况下,一般都要由用户选择是否同意安装软件。这已经不是浏览器攻击的问题了,问题在于用户没有仔细查看软件安装许可证明,或者只是草草看过便点击了确认按钮。当然通过浏览器攻击也可以不用获得用户允许就开始安装软件,比如通过一个带毒的电子邮件,一个共享文件系统或者一个下载文件等等。为了避免染毒,专家建议用户仔细阅读软件安装协议,对下载文件和来自未知地址的电子邮件要谨慎对待。
判断方法
包括以下异常行为:
1、计算机上的主页或其他设置已被更改,包括增加了一些指向通常会避免的网站的链接。
2、无法浏览某些网页,例如反间谍软件和其他安全软件站点。3、出现级联弹出窗口。屏幕上出现看似无穷无尽的连环广告弹出窗口。
4、安装了新的工具栏或收藏夹,并提供指向您不需要的网页的图标和链接。
5、减慢计算机的运行速度。恶意软件会减慢计算机的运行速度。
“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”,即是说大部分浏览器劫持的发起者,都是通过一种被称为“BHO”(BrowserHelperObject,浏览器辅助对象)的技术手段来植入系统。
而 BHO 是微软早在 1999 年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”,由于 BHO 的交互特性,程序员还可以使用代码去控制浏览器的行为,这些操作都被系统视为“合法”,这就是“浏览器劫持”现象赖以存在的根源。
解决方法
下面我们就来了解一些对付浏览器劫持的方法:
编辑 hosts 文件
HOSTS 文件存在于 Windows 目录下的 System32\Drivers\Etc 目录中。如果恶意网页将正常的域名映射到恶意网页的 IP 地址,则输入正常网址便会连接到恶意程序指定的网页上。
当输入正常的网址却被打开一个不知名的网站,则很有可能是因为 HOSTS 文件被修改了。用记事本打开这个文件,手工删除被恶意程序添加的项目并保存文件,就可以正常访问你要浏览的网站了(如果你从未使用过该文件,则直接删除所有内容后保存也可)。
本方法仅供参考,具体方法请咨询专业人士。
另外瑞星的卡卡社区里有一个专门收集恶意劫持网站的 hosts 文件下载,下载后覆盖原文件即可。
修改注册表项目
我们可以使用各大杀毒软件附带的注册表修复工具对注册表进行修复。
通过浏览器加载项方式及木马进行劫持
一些恶意程序作为 IE 加载项(Plugins)的方式启动自己,每次 IE 浏览器后都会自动运行恶意程序。通常恶意程序用来定时弹出广告,在 IE 的右键菜单中添加恶意网站链接以及动态修改注册表等。另外木马方式运行的浏览器劫持程序,目的与浏览器加载项方式类似,只是自启动方式不同。这种木马方式的劫持程序运行更隐蔽,清除更复杂,可以自动更新程序,并且可能同时具备上面的几种劫持方式。
对于这 2 种浏览器劫持方式处理起来比较麻烦,这里推荐一个小软件--IE 清道夫 Upiea
弹出的网站
找到(复制)它的地址。然后在 IE 里通过:工具--Internet 选项--安全,点击“请为不同区域的 Web 内容指定安全设置”下的“受限站点”,然后点击下面的“站点”按钮,然后在“将该网站添加到区域”中将这个网站复制进去,点击“确定”即可。(这种方法仅对没有篡改注册表的管用。既“受限站点”不是灰色的)
预防办法
对下载或安装到计算机上的内容要格外小心
可以通过一些基本的防范措施帮助确保浏览器正常运行:
每当您要将新软件下载到计算机时,会出现一个警告窗口,如下图所示。请对此警告给予高度重视。声誉不佳的在线游戏和媒体服务可能会将间谍软件和其他恶意软件附加到使用其服务所需的“免费”软件。除非确保某个程序或软件完全值得信赖,否则不要下载它或将它安装到您的计算机上。另外,如果看到一个询问您是否允许安装某软件的弹出窗口,请单击“否”,除非能够十分确定要将此新软件安装到计算机上。
防御软件
安装自动更新。如果使用的是 Windows2000 或 WindowsXP,则可以在计算机上自动安装安全更新。如果希望手动
安全级别设定
执行此操作,请访问 MicrosoftUpdate 并安装 Windows(包括 WindowsSP2)的任何 ServicePack 和更新。
确保使用最新版本的 Internet 浏览器。如果使用 InternetExplorer,请确保使用的是该软件的最新版本,并下载和安装任何附加的安全更新。
使用最新的防病毒和反间谍软件。将它们设置为自动运行。许多浏览器劫持尝试都附带了病毒或间谍软件。
准备一个防劫持工具包在身边。防劫持工具包应该包括诸如 MicrosoftWindowsAntiSpyware(Beta)(仅英文版)和 Spybot 之类的程序,它能够帮助浏览器在被劫持时恢复对浏览器和计算机的控制。另外,一些著名的防病毒程序可以检测和帮助删除某些称为特洛伊木马病毒的劫持程序。
1.在“工具”菜单上,单击“Internet 选项”,然后单击“安全”。
2.单击“Internet”图标,单击“自定义级别”按钮,然后在“重置为”框中,选择“中”。
3.单击“重置”按钮。
4.单击“确定”。
还原方法
以下 6 个提示可帮助还原浏览器的设置:
1-停止级联弹出窗口
如果的屏幕上出现了看似无穷无尽的弹出窗口,则可能需要首先停止泛滥势头。为此,在 MicrosoftWindowsXP 或 Windows2000 中使用 InternetExplorer 时:
1.按 Ctrl+Alt+Del,单击“任务管理器”,然后单击“进程”选项卡。
2.单击 IEXPLORE.EXE,然后单击“结束进程”按钮。
这样做将关闭 InternetExplorer 的所有实例。然后,可以重新打开该程序,继续照常浏览。要帮助预防潜在攻击,还应该启用弹出窗口阻止程序。在 InternetExplorer 中启用弹出窗口阻止程序:
1.在“工具”菜单上,单击“Internet 选项”,然后单击“隐私”选项卡。
2.在“弹出窗口阻止程序”框中,选择“阻止弹出窗口”复选框。单击“确定”。
如果仍然遇到被劫持的 Web 浏览器带来的其他影响,请尝试以下步骤:
2-安装防御性软件。如上述“防止浏览器劫持”部分中提到的各种软件。您可以通过下载、安装并运行这些程序来识别和删除许多浏览器劫持程序。
3-运行恶意软件删除工具。此工具可捕获某些(但并非所有)类型的劫持软件。
4-手动还原您的设置。如果您正在使用 InternetExplorer 且主页已被更改,则通常可以自己将其重置。
1.在“工具”菜单上,单击“Internet 选项”,然后单击“常规”选项卡。
2.在“主页”框中,将所需网址键入到“地址”栏中,或单击“使用默认页”按钮恢复原来的出厂设置。
3.单击“确定”。
5-通过“添加/删除”功能删除有害程序
如果您准备尝试某些高级删除方法,Microsoft 帮助和支持文章欺骗性软件可能会使计算机出现莫名其妙的问题提供了您可以执行的附加步骤,包括如何使用“添加/删除”功能、内置程序删除工具以及 WindowsExplorer 中的程序查找工具。
6-完成这些步骤后。请清空回收站,特别是在删除了有害的程序时。然后重新启动系统。
对付方法
1.编辑 hosts 文件
HOSTS 文件存在于 Windows 目录下的 System32DriversEtc 目录中。
具体方法到这个上去看看
2.修改注册表项目
IE 浏览器的主页地址、浏览器标题、默认搜索页地址等信息都是记录在系统注册表当中的,恶意程序通过对注册表的修改就可以控制这些项目的内容。
3.通过浏览器加载项方式及木马进行劫持:
这种木马方式的劫持程序运行更隐蔽。
4.对于单一的弹出网站(网页),你可以试试下面的方法:
找到(复制)它的地址点击“确定”即可。
攻与防
浏览器劫持”,常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE 浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等,不少用户都深受其害。那么,这类现象是如何引起的呢?用户又该如何防范应对呢?这就是本文要介绍的内容。
解说“攻”
1、整体认识。浏览器劫持(Browser Hijack)是一种恶意程序软件,通过恶意修改用户个人电脑的浏览器默认设置,以引导用户登录被其修改的或并非用户本意要浏览的网页。大多数浏览器劫持者是在用户访问其网站时,通过修改其浏览器默认首页或搜索结果页,达到劫持网民浏览器的目的。这些载体可以直接寄生于浏览器的模块里,成为浏览器的一部分,进而直接操纵浏览器的行为。“浏览器劫持”的后果非常严重,用户只有在受到劫持后才会发现异常情况;浏览器劫持已经成为 Internet 用户最大的威胁之一。
2、现象分析。 “浏览器劫持”的攻击手段都是通过一种被称为“BHO”(Browser Helper Object,浏览器辅助对象)的技术手段来植入系统。而 BHO 是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作。
细谈“防”
这类现象确实难以防范,用户永远处于被动地位。我们只能通过一些设置与软件的应用,让这种影响减至最低。以下办法可供大家参考。
1、个别劫持现象的手动修正。 Windows 登录窗口被劫持。在注册表中打开 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon 分支,然后将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可解决问题。 在网页中单击鼠标右键,在弹出的菜单里显示网页广告。 在注册表中打开 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt 分支,IE 浏览器中显示的附加右键菜单都在这里设置,常见的网际快车单击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。
2、通用修正法。虽然“浏览器劫持”一般都需要手工修正,但仍可以通过一些检测浏览器劫持工具如 HijackThis、Browser Hijack Recover 等来实现修正工作。下面以 HijackThis 为例,简要说明修正过程。
下载完成后双击即可启动到如图所示主界面。单击左下角“扫描”按钮,软件会自动对系统进行全方位的安全检测;稍等之后即会返回系统中所有可疑内容,每个可疑项都有一个编号,这些编号代表了不同的类别;勾选某个项目后单击右下角的“显示所选项目信息”按钮可以查看到更详细的信息;然后单击“修复”按钮即可进行修复。
总结
浏览器一旦被劫持,就意味这你无法决定自己的电脑里将被存放进什么资料,这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱,单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。
浏览器劫持 防御
定义:浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP 等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
所谓浏览器劫持是指网页浏览器(IE 等)被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。
国家监管
2019 年 5 月,国家市场监管总局相关负责人表示,强制或者变相强制消费者浏览特定网页等行为违反相关法律的规定,国家市场监管总局将会同相关部门进行治理。
市场监管总局已于 2019 年 4 月起在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。下一步,将配合中央网信办等部门,从规范格式条款、APP 安全认证、消费者个人信息保护等角度做好相关治理工作。同时,积极配合全国人大常委会推动个人信息保护法尽快出台。
中央网信办、工信部、公安部、市场监管总局已于 2019 年 1 月起在全国范围内组织开展为期一年的 APP 违法违规收集使用个人信息专项治理,主要从 4 个方面开展工作:一是针对 APP 隐私政策和个人信息收集使用情况进行评估;二是加大对违法违规行为的监管处罚力度;三是打击整治网络侵犯公民个人信息违法犯罪;四是建立实施 APP 安全认证制度。各项工作正平稳有序推进。
APP 安全认证在 2019 年 3 月 13 日由市场监管总局联合中央网信办共同向全社会推出,按照 APP 运营商自愿申请的原则,由具备资质的认证机构依据相关国家标准对 APP 收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。通过鼓励搜索引擎和应用商店优先推荐获证 APP 等方式,引导消费者选用安全的 APP 产品。
2019 年 5 月,中央网信办表示将建立机制、保障用户安全,工信部表示将严惩浏览器主页劫持行为。
2019 年 5 月 22 日,金山毒霸、360 公司回应”浏览器主页劫持”:加强自律。