Browser hijacking

formă de software nedorit

Browser hijacking este o formă de software nedorit care modifică setările unui browser web fără permisiunea utilizatorului, pentru a injecta publicitate nedorită în browserul utilizatorului. Un browser hijacker poate înlocui pagina de pornire, pagina de eroare sau motorul de căutare existent cu propriul motor de căutare.[1] În general, acestea sunt folosite pentru a forța accesarea⁠(d) unui anumit site web, mărind astfel veniturile din publicitate.

Unii browser hijackeri conțin, de asemenea, programe spion, de exemplu, unii instalează un software keylogger pentru a colecta informații precum detalii bancare și de autentificare a e-mailurilor. Unii browser hijackeri pot, de asemenea, să deterioreze registrul sistemelor Windows, adesea în mod permanent.

În timp ce unele cazuri de deturnare a browserului pot fi inversate cu ușurință, alte cazuri pot fi dificil de inversat. Există diverse pachete de software pentru a preveni astfel de modificări.

Multe programe de deturnare a browserului sunt incluse în pachete de software pe care utilizatorul nu le-a ales și sunt incluse ca „oferte” în programul de instalare pentru un alt program, adesea fără instrucțiuni de dezinstalare sau documentație despre ceea ce fac, și sunt prezentate într-un mod care este conceput pentru a crea confuzie pentru utilizatorul obișnuit, pentru a-l păcăli să instaleze un software suplimentar nedorit.[2][3][4][5]

Există mai multe metode pe care browser hijackerii le folosesc pentru a intra într-un sistem de operare. Atașamentele de e-mail și fișierele descărcate prin intermediul site-urilor web suspecte și al torrentelor sunt tactici comune pe care le folosesc browser hijackerii.

Securitate

modificare

Software de securitate dăunător

modificare

Unele programe de securitate dăunătoare vor deturna, de asemenea, pagina de start, afișând, în general, un mesaj de genul „AVERTISMENT! Computerul dumneavoastră este infectat cu spyware!” pentru a conduce la pagina unui furnizor de antispyware. Pagina de start va reveni la setările normale odată ce utilizatorul cumpără software-ul lor. Programe precum WinFixer⁠(d) sunt cunoscute pentru că deturnează pagina de start a utilizatorului și o redirecționează către un alt site web.

Pagini de domeniu inexistente

modificare

Sistemul Numelor de Domenii este interogat atunci când un utilizator tastează numele unui site web (de exemplu, wikipedia.org), iar DNS-ul returnează adresa IP a site-ului, dacă aceasta există. În cazul în care un utilizator introduce greșit numele unui site web, DNS-ul va returna un răspuns de tip NXDOMAIN (Non-Existent Domain).

În 2006, EarthLink⁠(d) a început să redirecționeze numele de domenii scrise greșit către o pagină de căutare. Acest lucru a fost realizat prin interpretarea codului de eroare NXDOMAIN la nivelul serverului. Anunțul a dus la multe reacții negative, iar EarthLink a oferit servicii fără această funcție.[6]

Operațiune

modificare

Adesea, programele nedorite nu includ niciun semn că sunt instalate și nici instrucțiuni de dezinstalare sau de renunțare.[2]

Cele mai multe programe de deturnare modifică în mod constant setările browserelor, ceea ce înseamnă că opțiunile utilizatorului în propriul browser sunt suprascrise. Unele programe antivirus identifică programele de deturnare a browserului ca fiind programe malițioase și le pot elimina. Unele programe de scanare a programelor spyware au o funcție de restaurare a browserului pentru a readuce setările browserului utilizatorului la normal sau pentru a-l avertiza când pagina browserului său a fost modificată.

Începând cu Microsoft Windows 10, browserele web nu se mai pot seta ca fiind cele implicite pentru utilizator fără o intervenție suplimentară; schimbarea browserului web implicit trebuie efectuată manual de către utilizator din pagina „Aplicații implicite” din Setări, aparent pentru a preveni deturnarea browserului.[7]

Exemple de deturnători

modificare

O serie de hijackeri modifică pagina de pornire a browserului, afișează reclame și/sau setează motorul de căutare implicit; printre aceștia se numără Astromenda (www.astromenda.com);[8][9][10] Ask Toolbar (ask.com); ESurf (esurf.biz) Binkiland (binkiland.com); Delta și Claro; Dregol;[11] Jamenizez; Mindspark; Groovorio; Sweet Page; Mazy Search; Search Protect by Conduit împreună cu search.conduit.com și variantele; Tuvaro; Spigot; ro.4yendex.com; Yahoo; etc.

Bara de instrumente Babylon

modificare

Babylon Toolbar este un browser hijacker care va schimba pagina de start a browserului și va seta motorul de căutare implicit pe isearch.babylon.com. Este, de asemenea, o formă de adware. Afișează reclame, link-uri sponsorizate și rezultate false de căutare plătite. Programul va colecta termenii de căutare din interogările dumneavoastră de căutare.

Software-ul de traducere Babylon solicită adăugarea barei de instrumente Babylon la instalare. Bara de instrumente este, de asemenea, inclusă ca un add-on în alte programe descărcate.[12]

În 2011, site-ul CNet Download.com a început să includă bara de instrumente Babylon în pachete open-source, cum ar fi Nmap. Gordon Lyon, a fost supărat de modul în care utilizatorii software-ului său au fost păcăliți să folosească bara de instrumente.[13] Vicepreședintele site-ului Download.com, Sean Murphy, a publicat scuze: Împachetarea acestui software a fost o greșeală din partea noastră și ne cerem scuze comunităților de utilizatori și dezvoltatori pentru tulburările pe care le-a provocat.[14]

Există variante similare ale barei de instrumente Babylon și ale paginii de pornire a căutării, inclusiv: Bueno Search, Delta Search, Claro Search și Search GOL. Toate aceste variante declară că sunt deținute de Babylon în termenii serviciului.

Toate barele de instrumente au fost create de Montiera.[15]

Conduit (Search Protect)

modificare

Conduit este un PUP / hijacker. Acesta fură informații personale și confidențiale de la utilizator și le transferă către o terță parte. Această bară de instrumente a fost identificată ca fiind un Program potențial nedorit (PUP) de către Malwarebytes[16] și este de obicei inclusă în descărcări gratuite.[17] Aceste bare de instrumente modifică motorul de căutare implicit al browserului, pagina de pornire, pagina de tab nou și alte câteva setări ale browserului. Există variante similare ale lui Conduit Search, cum ar fi trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb.com, împreună cu alte variante care au fost create într-un mod personalizat pentru serviciul de creare de bare de instrumente pe care Conduit Ltd obișnuia să îl ofere.

Un program numit „Conduit Search Protect”, mai bine cunoscut sub numele de „Search Protect by conduit”, poate cauza erori grave de sistem la dezinstalare. Acesta pretinde că protejează setările browserului, dar de fapt blochează toate încercările de a manipula un browser prin intermediul paginii de setări; cu alte cuvinte, se asigură că setările malițioase rămân neschimbate. Search Protect are o opțiune pentru a schimba pagina de pornire a căutării de la pagina de pornire „recomandată” Trovi, însă utilizatorii au raportat că aceasta se schimbă înapoi la Trovi după o perioadă de timp. Programul de dezinstalare pentru Search Programul de dezinstalare pentru Search Protect poate face ca Windows să nu mai poată fi pornit, deoarece fișierul de dezinstalare nu numai că își elimină propriile fișiere, ci și toate fișierele de pornire din rădăcina unității C: și lasă un fișier BackGroundContainer.dll în registrul de pornire.[18] Conduit este asociat cu malware, spyware și adware, deoarece victimele acestui hijacker au raportat pop-up-uri nedorite și reclame încorporate în text, pe site-uri fără reclame.

Perion Network Ltd. a achiziționat afacerea ClientConnect a Conduit la începutul lunii ianuarie 2014, iar ulterior a încheiat un parteneriat cu Lenovo pentru a crea Lenovo Browser Guard, care utilizează componente ale Search Protect.

Victimele redirecționărilor nedorite către conduit.com au raportat, de asemenea, că au fost atacate prin încercări de phishing și au primit spam-uri nedorite prin e-mail, mesaje nedorite, alte mesaje și apeluri telefonice de la agenți de telemarketing. Unele victime susțin că cei care au sunat au pretins că sunt Apple, Microsoft sau furnizorul lor de servicii de internet și li s-a spus că în unele apeluri telefonice au fost folosite informații personale și că unele dintre apeluri se refereau la obiceiurile lor de navigare și la istoricul de navigare recent. Informațiile personale utilizate în încercările de phishing pot fi asociate cu spyware.[19]

startsurf.com

modificare

Browser hijackerul istartsurf.com poate înlocui instrumentele de căutare preferate. Această infecție circulă la pachet cu aplicații terțe și instalarea sa poate fi silențioasă. Din acest motiv, utilizatorii afectați nu sunt conștienți că hijackerul le-a infectat browserele Internet Explorer, Google Chrome sau Mozilla Firefox.[20]

Search-dayly.com

modificare

Search-daily.com este un hijacker care poate fi descărcat de troianul Zlob. Acesta redirecționează căutările utilizatorului către site-uri pornografice. De asemenea, este cunoscut pentru faptul că încetinește performanța calculatorului.[21]

Snap.do (Smartbar dezvoltat de Resoft) este un malware potențial, clasificat ca browser hijacker și spyware, care face ca browserele de internet să fie redirecționate către motorul de căutare snap.do. Snap.Do poate fi descărcat manual de pe site-ul Resoft, deși mulți utilizatori sunt prinși în capcană de termenii lor lipsiți de etică. Afectează Windows și poate fi eliminat prin intermediul meniului Add/Remove program. De asemenea, Snap.Do poate descărca multe bare de instrumente, add-on-uri și plug-in-uri malițioase, precum DVDVideoSoftTB, General Crawler și Save Valet.

General Crawler, instalat de Snap.do, este cunoscut pentru faptul că folosește un proces de tip backdoor, deoarece se reinstalează și se reactivează de fiecare dată când un utilizator afectat îl elimină prin intermediul browserului(lor).

Snap.do va dezactiva opțiunea de a vă schimba pagina de start și motorul de căutare implicit.

Resoft va urmări următoarele informații:

  • Domeniul de internet și adresa IP de la care utilizatorul accesează produsele Resoft (locație, ID, etc.).
  • Rezoluția ecranului monitorului computerului (display) utilizatorului
  • Data și ora la care utilizatorul accesează în mod intenționat sau neintenționat produsele Resoft
  • Paginile pe care utilizatorul le vizitează cu ajutorul produselor Resoft (cu sau fără să știe că utilizează produsele Resoft, Snap.do)
  • În cazul în care utilizatorul s-a conectat, cu sau fără voia sa, la un site web Resoft de pe un alt site web de trimitere, adresa acelui site

Prin utilizarea produselor Resoft, utilizatorul consimte ca datele sale cu caracter personal să fie transferate și prelucrate atât în interiorul, cât și în afara Statelor Unite ale Americii.

Prin utilizarea site-ului web Resoft, utilizatorul este de acord cu utilizările precedente ale informațiilor sale în acest mod de către Resoft.[22]

Programul de instalare SourceForge

modificare

Un program de instalare anterior al SourceForge a includea instalatori de adware și PUP. [23]

Unul dintre ele modifică setările browserului Firefox, Chrome și Internet Explorer pentru a afișa site-ul „istartsurf.com” ca pagină de pornire. Face acest lucru prin modificarea setărilor din registru și instalarea unui software care resetează setările dacă utilizatorul încearcă să le modifice.

La 1 iunie 2015, SourceForge a susținut că a încetat să mai cupleze „ofertele terților” cu proiectele SourceForge care nu sunt întreținute.[24]

Vosteran

modificare

Vosteran este un browser hijacker care schimbă pagina de start a browserului și furnizorul de căutare implicit în vosteran.com. Această infecție este, în esență, la pachet cu alte aplicații terțe. Identitatea lui Vosteran este protejată de către privacyprotect.org din Australia. Vosteran este înregistrat prin Whiteknight.[25]

Acesta poate fi găsit atunci când se instalează „Cheat Engine” sau o versiune diferită de „VLC Player” pe www.oldapps.com, sau atunci când se descarcă aplicații de pe anumite site-uri de programe gratuite, cum ar fi Softonic.com sau Download.com.

Trovi utilizează Bing (un motor de căutare legitim) pentru a furniza rezultate utilizatorului. Deși bara de adrese se schimbă în Bing.com atunci când afișează rezultatele căutării, cuvintele cheie ale căutării sunt executate prin Trovi, indiferent. Trovi folosea anterior propriul site web pentru a afișa rezultatele căutării cu logo-ul din colțul din stânga sus al paginii, dar ulterior a trecut la Bing în încercarea de a păcăli mai ușor utilizatorii. Trovi nu mai este la fel de periculos ca înainte cu scoaterea reclamelor din rezultatele căutării în funcție de ce browser este folosit, dar este în continuare considerat un browser hijacker.

De asemenea, controlează setările paginii de pornire și ale paginii de tab nou pentru a interzice posibilitatea de a le readuce la setările originale. În funcție de browserul utilizat, este posibil să apară reclame pe pagină.

Când se infectează, face o redirecționare a browserului de la Google și alte motoare de căutare către trovi.com.[26]

Trovi a fost creat cu ajutorul serviciului de creare a barelor de instrumente Conduit și se știe că infectează în moduri similare cu bara de instrumente Conduit.

  1. ^ „Browser Hijacking Fix & Browser Hijacking Removal”. Microsoft. Arhivat din original la . Accesat în . 
  2. ^ a b „Malwarebytes Potentially Unwanted Program Criteria”. Malwarebytes. Arhivat din original la . Accesat în . 
  3. ^ „Rating the best anti-malware solutions”. Arstechnica. . Arhivat din original la . Accesat în . 
  4. ^ „Threat Encyclopedia – Generic Grayware”. Trend Micro. Arhivat din original la . Accesat în . 
  5. ^ „PUP Criteria”. Malwarebytes. Arhivat din original la . Accesat în . 
  6. ^ Mook, Nate (). „EarthLink Criticized for DNS Redirects”. betaNews. Arhivat din original la . Accesat în . 
  7. ^ „Mozilla blasts Microsoft for making it harder to switch to Firefox in Windows 10”. The Verge. Vox Media. . Arhivat din original la . Accesat în . 
  8. ^ „PUA.Astromenda”. Symantec⁠(d). Arhivat din original la . Accesat în . 
  9. ^ „How to Remove Astromenda Search From Your Browser”. Lavasoft. Arhivat din original la . Accesat în . 
  10. ^ „Remove Astromenda, Buzzdock and Extended Update toolbar from your browser”. norton.com. Arhivat din original la . Accesat în . 
  11. ^ „Dregol Search Removal | Removal Guide”. Arhivat din original la . Accesat în . 
  12. ^ Getting rid of Babylon Arhivat în , la Wayback Machine. Jay Lee, The Houston Chronicle, July 25, 2012
  13. ^ Leyden, John. „Download.com sorry for bundling Nmap with crapware”. www.theregister.com (în engleză). Arhivat din original la . Accesat în . 
  14. ^ A note from Sean regarding the Download.com Installer Arhivat în , la Wayback Machine. Download.com December 7, 2011
  15. ^ „Montiera”. montiera.com. Arhivat din original la . Accesat în . 
  16. ^ „How to remove Search Protect by Conduit Ltd”. Lavasoft. . Arhivat din original la . Accesat în . 
  17. ^ „Download me II—Removing the remnants of the Web's most dangerous search terms”. Ars Technica⁠(d). . Arhivat din original la . Accesat în . 
  18. ^ „Fixing BackgroundContainer.dll Left Over by Conduit Ltd”. appuals. Arhivat din original la . Accesat în . 
  19. ^ „How To Remove Search Protect By Conduit Ltd”. Lavasoft. Arhivat din original la . Accesat în . 
  20. ^ „Remove istartsurf”. support.kaspersky.com. Kaspersky Lab. Arhivat din original la . Accesat în . 
  21. ^ „Browser Hijacker”. nodsrv. . Arhivat din original la . Accesat în . 
  22. ^ „How To Remove Snap.Do Browser Hijacker”. Lavasoft. Arhivat din original la . Accesat în . 
  23. ^ „istartsurf.com - browser hijacking - startup page on all browsers | Endpoint SWAT: Protect the Endpoint Community”. community.broadcom.com. Arhivat din original la . Accesat în . 
  24. ^ „Third party offers will be presented with Opt-In projects only - SourceForge Community Blog”. SourceForge Community Blog (în engleză). . Arhivat din original la . Accesat în . 
  25. ^ „Remove Vosteran”. How To Remove. . Arhivat din original la . Accesat în . 
  26. ^ „How To Remove Trovi.com & Trovi Search From Mac Or Windows” (în engleză). . Arhivat din original la . Accesat în .