Ad spam böngészők és hogyan kell harcolni
Csere címkék, amellyel a böngésző indul.
Szinte minden böngésző navigál URL, amely a továbbiakban, mint egy parancssori paraméter. Ha fut iexplore.exe. majd futtassa az "Internet Explorer" alkalmazás (IE böngésző). Ha végre a parancsot:
majd indítsa IE böngésző, és ez will page a Yandex. Ahelyett, hogy a főoldalon Yandex természetesen lehet nyitni más, beleértve azokat, amelyek a rosszindulatú vagy csak nem kívánt kódot, például kód megjeleníti az online kaszinó oldalon, vagy kap egy készpénz kölcsön ajánlatokat. Azzal, hogy a böngésző lehet bármely, ugyanazon minta munkahelyi Firefox vagy a Chrome - a felhasználó kénytelen megy a linket küldött egy parancssori paraméter. Így néz tulajdonságait a parancsikon az átutalást a Mozilla Firefox böngésző URL search-iskat.ru site:
Vannak még bonyolultabb esetekben, amikor végre nem csak a helyettesítését paraméterek hivatkozások, hanem a címkéket a főmenüben. Az alábbiakban egy szoftver indítási menü fragmentum, amely elvégezte a cserét az Internet Explorer hivatkozások:
Mint látható, az alkalmazás az Internet Explorer ikon látható a főmenü, de egy kicsit más névvel - „Internct Exp1ercr”. Amikor a hasonlóság az írás karakterek, illetve bizonyos gondatlanság, ahelyett, hogy egy szabványos internetes böngésző, a felhasználó is az alkalmazás futtatásához, hogy regisztrálva van a parancsikon tulajdonságait, és hosszú ideig, és nem is tudni kell a cserét. A gyakorlatban ebben az esetben futtatni az Internet Explorer ugyanazon, de az átadása a rosszindulatú URL paraméterként.
Sorral lentebb egy címkét a neve „Internet Explorer”, de nem az ikon a böngésző. Az ingatlan a címke, mint kiderült, szintén nem volt minden rendben:
Mint látható, az objektum típusát - „A Windows batch file” található, a saját mappájában a böngésző, hanem iexplore.bat nevű iexplore.exe. Mint kiderült, a fájl attribútum „rejtett”, és a következő tartalommal, amely az összes ugyanazon távon böngésző parancssori paraméter:
start "" / I / B / D „c: \ PROGRA
Ebben a fájlban, akkor a parancs megkezdése biztosít indul IE alkalmazás paraméter egy rosszindulatú URL-t, anélkül, hogy egy új ablak letiltása feldolgozása Ctrl + C (beállítás / B), az üzembe helyezés az új környezet (/ I és a jelenlegi könyvtár (/ D útját. az ablak „minimalizálni egy ikon” a parancsikon tulajdonságait, volt, hogy csökkentsék a kimutatásának valószínűségét a dob IE böngésző ezt a batch fájlt.
Elcserélt beállítások malware böngészők.
about: config - Mozilla Firefox speciális beállítások; A teljes listát a speciális beállítások és információk a böngésző nyerhető beírásával találhatóak: körülbelül
opera: config - Opera Speciális beállítások; opera: körülbelül - információk a böngésző, beleértve az útvonalat és a könyvtár nevét a megállapított program, a cache helyét, valamint a felhasználó profilját, ha a böngésző beállításait tárolja.
chrome: // flags. valamint a chrome: // extensions /, króm: ... - meglehetősen nagy számú URL-t, a teljes lista megtalálható beírja a chrome: körülbelül
Az Internet Explorer beállításainak tárolása a regisztrációs kulcs HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer. legtöbb alfejezet \ Main
Ez a mappa Almappát Mozilla. és ez - a Firefox. A Firefox mappa tartalmazza az elsődleges konfigurációs fájl böngésző Mozilla Firefox - profiles.ini. megközelítőleg az alábbi tartalommal:
Húr Path = Profiles / temavya7.default leírja az útvonalat a böngésző beállításait az aktuális felhasználó számára (a profil elérési útvonala). Az alsó szinten a könyvtár neve (temavya7.default) véletlenszerűen generált, és más lesz a számítógépen. Egy felhasználó több profilja is lehet, akiknek a nevét más lesz. Az egyik profilokat kell őrölni, és az alapértelmezett.
Végül állítsa a Mozilla Firefox böngésző lesz a mappában található% APPDATA% \ Mozilla \ Firefox \ Profiles \ alsó szinten a könyvtár nevét. A fő fájl beállításait a jelenlegi változat a Mozilla Firefox prefs.js van neve és egy egyszerű szöveges fájl.
Opera böngésző, könyvtár beállításai -% APPDATA% \ Opera \ Opera vagy% APPDATA% \ Opera Software \ Opera Stable függően változata Opera.
jegyzettömb% LOCALAPPDATA% \ Google \ Chrome \ User Data \ Default \ Beállítások - Google Chrome megnyitni a konfigurációs fájlban.
A nevek és ahogy a böngésző beállításait nem határozza meg, hogy mit vagy szabványok, és nem lehet módosítani a fejlesztők saját belátása szerint. Bármely böngésző beállításait, a tárolás helye megtalálható a tevékenység monitoring program folyamatokat, így - Process Monitor Windows Sysinternals csomagot. Az oldalon van egy példa, hogy hogyan állapítható meg a Mozilla Firefox böngésző beállításait tárolja.
Ha tudja, hogy a böngésző konfigurációját, a fájl nevét, a teljes elérési utat megtalálható a futás a parancssorban, például, hogy a fájl neve prefs.js:
Dir / b / s / a-d „% AppData% \ prefs.js
Találd meg az összes fájlt nevű böngésző és a meghosszabbítás, kezdve a könyvtár által meghatározott változó értékét APPDATA:
Dir / b / s / a-d „% AppData% \ böngészőt. *
Találd meg az összes fájlt egy nevet kezdőcsapatban pref. A könyvtár által meghatározott változó értékét LOCALAPPDATA:
Dir / b / s / a-d „% LOCALAPPDATA% \ pref *. *
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main például ... Main1. és futtassa az IE, akkor létrehoz egy új Fő az alapértelmezett beállításokkal. Ha valami elromlik, akkor mindig törölni és átnevezni az új Fő Main1 a Fő - a régi beállításokat helyreáll. Ismét - minden manipuláció, a szükséges beállításokat, hogy kövesse, amikor bezárja a böngészőt, különben a változások lesznek felülírva ha zárva van.
Abban az esetben, Mozilla Firefox böngészőt. egy mappát a profilját% APPDATA% \ Mozilla \ Firefox \ Profiles \ könyvtár neve az alsó szinten egy fájl nevű prefs.js. Ez tárolja a böngésző beállításait, és vissza lehet állítani például megváltoztatja annak kiterjesztését - prefs.js1. Megkezdése után Firefox létrehoz egy új fájlt a kezdeti beállításokat
A gyakorlatban kellett kezelni azokat az eseteket, amikor a kártevő megváltoztatta nemcsak a tartalmát a fő prefs.js fájlt. hanem a fájl további beállításokat user.js és tárolt munkák sessionstore.js. amely szintén lehet átnevezni vagy törölni, így „tiszta” kezdeti böngésző beállításait.
- Zárja be az összes böngésző;
- Ellenőrizze, és ha szükséges, javítsa ki a beállításokat parancsikonokat a Start menü programok
- Ellenőrizze, helyes-e vagy állítsa vissza a böngésző maguknak
- Ha ezek után a fenti, a fertőzés tünetei is jelen vannak, akkor próbáld meg kikapcsolni az összes külső böngésző kiterjesztés, és ha ez nem működik - keresni malware, hogy nem ismeri fel a víruskereső szoftver segítségével a megfigyelési programok speciális antivírus segédprogramok, mint AVZ , HijackThis RootkitRevealer stb - ha tudja, az időtartamot, amikor a fertőzés történt, segíthet közüzemi SearchMyFiles származó Nirsoft, amely lehetővé teszi a keresést a fájlok által idején létrehozására vagy módosítására. Alkalmazási példák állnak rendelkezésre ebben a cikkben.