近日接到用戶反饋�����,IE首頁總是被改�����。該現(xiàn)象一般是用戶不知情的情況下主動(dòng)或被動(dòng)地運(yùn)行了某些應(yīng)用程序后進(jìn)行的修改�����,可以是隨系統(tǒng)啟動(dòng)而啟動(dòng)�,也可以是隨某個(gè)第三方應(yīng)用程序啟動(dòng)而啟動(dòng),甚至是做一些簡單的欺騙��。
本文旨在介紹一種常見欺騙玩法�����。
在本案例中我們首先發(fā)現(xiàn)在Internet屬性中將首頁設(shè)置為空白頁后依然打開某導(dǎo)航頁面�����。
在本案例中出現(xiàn)該現(xiàn)象是由于一個(gè)注冊表鍵值定義導(dǎo)致��,詳情參考:https://security.ccidnet.com/art/1099/20090513/1766611_1.html
之后手工清理注冊表或使用Papa的工具清理后便可以正常打開空白的IE首頁��,但是每當(dāng)運(yùn)行桌面上的游戲后便又改回去了�����。
進(jìn)入游戲的目錄后以下兩個(gè)文件引起了我們的注意:
將d3dx10.dll文件改名后運(yùn)行Heroe.exe出現(xiàn)如下報(bào)錯(cuò)�����,并無條件彈出下載網(wǎng)站鏈接:
看到這個(gè)現(xiàn)象后基本原因上就很明朗了��,以下是簡單分析:
1.創(chuàng)建游戲快捷方式指向虛假的游戲主程序Heroe.exe�����;
2.而實(shí)際上d3dx10.dll為真實(shí)的游戲主程序���;
3.當(dāng)Heroe.exe運(yùn)行后會(huì)修改IE首頁等設(shè)置��,并將d3dx10.dll設(shè)置為隱藏屬性并改名為游戲文件名Hero.exe�;
4.在Hero.exe正常結(jié)束(用戶在游戲中正常執(zhí)行的退出操作)后Heroe.exe會(huì)將Hero.exe改名回d3dx10.dll;
5.如Heroe.exe運(yùn)行后找不到真正的游戲主程序d3dx10.dll或Hero.exe時(shí)��,彈出窗口要求用戶訪問單擊游戲下載網(wǎng)站hxxp://www.newyx.net
處理方案:
1.取消d3dx10.dll的隱藏屬性并改名為Hero.exe��;
2.將桌面游戲快捷方式所指向的文件修改為真實(shí)的游戲主程序文件名Hero.exe��;
3.只用Papa之前介紹過的方法處理IE首頁被改的問題��,詳情觀看https://security.ccidnet.com/art/1099/20090513/1766611_1.html���。
【注:基于安全考慮�����,文中部分網(wǎng)絡(luò)鏈接"http"被替換為"hxxp"���,特此說明���!
【資料來源:金山毒霸社區(qū)�。作者papa現(xiàn)為金山客服工程師�����!
關(guān)鍵詞標(biāo)簽:IE瀏覽器,首頁被篡改
如何使HIPS 防止U盤病毒的入侵
用小工具巧殺計(jì)算機(jī)病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅(qū)也瘋狂 Autorun病毒冒充文件夾