時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(2)
近日接到用戶反饋,IE首頁總是被改。該現(xiàn)象一般是用戶不知情的情況下主動或被動地運行了某些應用程序后進行的修改,可以是隨系統(tǒng)啟動而啟動,也可以是隨某個第三方應用程序啟動而啟動,甚至是做一些簡單的欺騙。
本文旨在介紹一種常見欺騙玩法。
在本案例中我們首先發(fā)現(xiàn)在Internet屬性中將首頁設置為空白頁后依然打開某導航頁面。
在本案例中出現(xiàn)該現(xiàn)象是由于一個注冊表鍵值定義導致,詳情參考:http://security.ccidnet.com/art/1099/20090513/1766611_1.html
之后手工清理注冊表或使用Papa的工具清理后便可以正常打開空白的IE首頁,但是每當運行桌面上的游戲后便又改回去了。
進入游戲的目錄后以下兩個文件引起了我們的注意:
將d3dx10.dll文件改名后運行Heroe.exe出現(xiàn)如下報錯,并無條件彈出下載網(wǎng)站鏈接:
看到這個現(xiàn)象后基本原因上就很明朗了,以下是簡單分析:
1.創(chuàng)建游戲快捷方式指向虛假的游戲主程序Heroe.exe;
2.而實際上d3dx10.dll為真實的游戲主程序;
3.當Heroe.exe運行后會修改IE首頁等設置,并將d3dx10.dll設置為隱藏屬性并改名為游戲文件名Hero.exe;
4.在Hero.exe正常結(jié)束(用戶在游戲中正常執(zhí)行的退出操作)后Heroe.exe會將Hero.exe改名回d3dx10.dll;
5.如Heroe.exe運行后找不到真正的游戲主程序d3dx10.dll或Hero.exe時,彈出窗口要求用戶訪問單擊游戲下載網(wǎng)站hxxp://www.newyx.net
處理方案:
1.取消d3dx10.dll的隱藏屬性并改名為Hero.exe;
2.將桌面游戲快捷方式所指向的文件修改為真實的游戲主程序文件名Hero.exe;
3.只用Papa之前介紹過的方法處理IE首頁被改的問題,詳情觀看http://security.ccidnet.com/art/1099/20090513/1766611_1.html。
【注:基于安全考慮,文中部分網(wǎng)絡鏈接"http"被替換為"hxxp",特此說明。】
【資料來源:金山毒霸社區(qū)。作者papa現(xiàn)為金山客服工程師。】
關(guān)鍵詞標簽:IE瀏覽器,首頁被篡改
相關(guān)閱讀
熱門文章 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法 注冊表被修改的原因及解決辦法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key
人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活) 解決alexa.exe自動彈出網(wǎng)頁病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解決方案 木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定幾萬種木馬----→ 注冊表權(quán)限設置