Webbläsarkapning

Webbläsarkapning är en form av oönskad programvara som ändrar en webbläsares inställningar utan en användares tillåtelse för att injicera oönskad reklam i användarens webbläsare. En webbläsarkapare kan ersätta den befintliga hemsidan , felsidan eller sökmotorn med sin egen. Dessa används vanligtvis för att tvinga fram träffar på en viss webbplats , vilket ökar dess annonsintäkter .

Vissa webbläsarkapare innehåller också spionprogram , till exempel installerar vissa en programvara keylogger för att samla information som bank- och e-postautentiseringsdetaljer. Vissa webbläsarkapare kan också skada registret på Windows-system , ofta permanent.

Även om vissa webbläsarkapningar lätt kan vändas, kan andra fall vara svåra att vända. Det finns olika programvarupaket för att förhindra sådan modifiering.

Många webbläsarkapningsprogram ingår i programvarupaket som användaren inte valde och ingår som "erbjudanden" i installationsprogrammet för ett annat program, ofta inkluderat utan avinstallationsinstruktioner eller dokumentation om vad de gör, och presenteras på ett sätt som är utformad för att vara förvirrande för den genomsnittliga användaren, för att lura dem att installera oönskad extra programvara.

Det finns flera metoder som webbläsarkapare använder för att komma in i ett operativsystem. E-postbilagor och filer som laddas ner via misstänkta webbplatser och torrenter är vanliga taktiker som webbläsarkapare använder. ^{[ citat behövs ]}

säkerhet

Rogue säkerhetsprogramvara

En del oseriösa säkerhetsprogram kapar också startsidan och visar vanligtvis ett meddelande som "VARNING! Din dator är infekterad med spionprogram!" att leda till en antispionprogramleverantörs sida. Startsidan återgår till normala inställningar när användaren köper sin programvara. Program som WinFixer är kända för att kapa användarens startsida och omdirigera den till en annan webbplats.

Befintliga domänsidor

Domännamnssystemet frågas när en användare skriver in namnet på en webbplats (t.ex. wikipedia.org) och DNS returnerar webbplatsens IP-adress om den finns . Om en användare skriver fel namnet på en webbplats kommer DNS att returnera ett icke-existerande domän (NXDOMAIN) svar.

2006 började EarthLink omdirigera felskrivna domännamn till en söksida. Detta gjordes genom att tolka felkoden NXDOMAIN på servernivå. Tillkännagivandet ledde till mycket negativ feedback, och EarthLink erbjöd tjänster utan denna funktion.

Drift

Oönskade program innehåller ofta inga tecken på att de är installerade och inga instruktioner för att avinstallera eller välja bort dem.

De flesta kapningsprogram ändrar ständigt webbläsarnas inställningar, vilket innebär att användarens val i den egna webbläsaren skrivs över. Vissa antivirusprogram identifierar webbläsarkapningsprogram som skadlig programvara och kan ta bort den. Vissa program för genomsökning av spionprogram har en webbläsaråterställningsfunktion för att återställa användarens webbläsarinställningar till normala eller varna dem när deras webbläsarsida har ändrats.

Undvikande

Från och med Microsoft Windows 10 kan webbläsare inte längre ställa in sig själva som en användares standard utan ytterligare ingripande; att ändra standardwebbläsaren måste utföras manuellt av användaren från Inställningars sida "Standardappar", skenbart för att förhindra webbläsarkapning.

Exempel på kapare

Ett antal kapare ändrar webbläsarens hemsida, visar annonser och/eller ställer in standardsökmotorn; dessa inkluderar Astromenda (www.astromenda.com); Ask Toolbar (ask.com); ESurf (esurf.biz) Binkiland (binkiland.com); Delta och Claro ; Dregol ; Jamenisera ; Mindspark ; Groovorio ; Söt sida; Mazy sökning ; Search Protect by Conduit tillsammans med search.conduit.com och varianter ; Tuvaro ; Tapp ; en.4yendex.com ; Yahoo ; etc.

Babylons verktygsfält

Babylon Toolbar är en webbläsarkapare som kommer att ändra webbläsarens hemsida och ställa in standardsökmotorn till isearch.babylon.com. Det är också en form av adware . Den visar annonser, sponsrade länkar och falska betalda sökresultat. Programmet samlar in söktermer från dina sökfrågor.

Babylons översättningsprogram uppmanar dig att lägga till Babylons verktygsfält vid installationen. Verktygsfältet levereras också som ett tillägg med andra nedladdningar av programvara.

2011 började CNet -sajten Download.com att paketera Babylon Toolbar med öppen källkodspaket som Nmap . Gordon Lyon , utvecklaren av Nmap, var upprörd över hur användare av hans programvara lurades att använda verktygsfältet. Vicepresidenten för Download.com, Sean Murphy, släppte en ursäkt: Kombinationen av denna programvara var ett misstag från vår sida och vi ber om ursäkt till användar- och utvecklargemenskapen för den oro som den orsakade.

Liknande varianter av Babylons verktygsfält och sökhemsida finns inklusive: Bueno Search, Delta Search, Claro Search och Search GOL. Alla dessa varianter uppger att de ägs av Babylon i tjänstevillkoren.

Alla verktygsfält skapades av Montiera.

Conduit (Search Protect)

Conduit är en PUP/kapare. Den stjäl personlig och konfidentiell information från användaren och överför den till en tredje part. Det här verktygsfältet har identifierats som potentiellt oönskade program (PUPs) av Malwarebytes och är vanligtvis paketerat med gratis nedladdningar. Dessa verktygsfält ändrar webbläsarens standardsökmotor, hemsida, ny fliksida och flera andra webbläsarinställningar. Det finns liknande varianter av kanalsökning som trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb .com, tillsammans med andra varianter som skapades på ett skräddarsytt sätt för den tjänst för att skapa verktygsfält som Conduit Ltd brukade erbjuda. ^{[ citat behövs ]}

Ett program som heter "Conduit Search Protect", mer känt som "Search Protect by conduit", kan orsaka allvarliga systemfel vid avinstallation. Den hävdar att den skyddar webbläsarinställningar men blockerar faktiskt alla försök att manipulera en webbläsare via inställningssidan; med andra ord, det ser till att de skadliga inställningarna förblir oförändrade. Search Protect har ett alternativ för att ändra sökhemsidan från den "rekommenderade" sökhemsidan Trovi, men användare har rapporterat att den ändras tillbaka till Trovi efter en viss tid. ^{[ citat behövs ]} Avinstallationsprogrammet för Search Protect kan göra att Windows inte kan startas eftersom avinstallationsfilen inte bara tar bort sina egna filer utan även alla startfiler i roten på C:-enheten. ^{[ citat behövs ]} och lämnar en BackGroundContainer.dll-fil i startregistret. Conduit förknippas med skadlig programvara , spionprogram och adware , eftersom offer för denna kapare har rapporterat oönskade popup-fönster och inbäddade annonser i text på webbplatser utan annonser.

Perion Network Ltd. förvärvade Conduits ClientConnect-verksamhet i början av januari 2014 och samarbetade senare med Lenovo för att skapa Lenovo Browser Guard, som använder komponenter från Search Protect.

Offer för oönskade omdirigeringar till conduit.com har också rapporterat att de har blivit attackerade av nätfiskeförsök och har fått oönskad e-postspam, skräppost, andra meddelanden och telefonsamtal från telefonförsäljare. Vissa offer hävdar att uppringarna påstod sig vara Apple, Microsoft eller deras internetleverantör och får veta att personlig information användes i vissa telefonsamtal och att några av samtalen gällde deras surfvanor och senaste surfhistorik. Personlig information som används i nätfiskeförsök kan vara associerad med spionprogram.

istartsurf.com

Webbläsarkaparen istartsurf.com kan ersätta de föredragna sökverktygen. Denna infektion reser tillsammans med tredjepartsprogram och installationen kan vara tyst. På grund av detta är berörda användare inte medvetna om att kaparen har infekterat deras webbläsare Internet Explorer , Google Chrome eller Mozilla Firefox .

Search-daily.com

Search-daily.com är en kapare som kan laddas ner av Zlob-trojanen . Den omdirigerar användarens sökningar till pornografiska webbplatser. Det är också känt att sakta ner datorns prestanda.

Snap.do

Snap.do (Smartbar utvecklad av Resoft) är potentiell skadlig programvara, kategoriserad som en webbläsarkapare och spionprogram, som får webbläsare att omdirigera till sökmotorn snap.do. Snap.Do kan laddas ner manuellt från Resofts webbplats, även om många användare är fångade av sina oetiska villkor. Det påverkar Windows och kan tas bort via menyn Lägg till/ta bort program. Snap.Do kan också ladda ner många skadliga verktygsfält, tillägg och plugin-program som DVDVideoSoftTB, General Crawler och Save Valet.

General Crawler, installerad av Snap.do, har varit känt för att använda en bakdörrsprocess eftersom den installerar om och återaktiverar sig själv varje gång en påverkad användare tar bort den via sina webbläsare.

Snap.do kommer att inaktivera alternativet att ändra din startsida och standardsökmotor.

Resoft kommer att spåra följande information:

Internetdomänen och IP-adressen från vilken användaren kommer åt Resoft-produkterna (plats, ID, etc.)
Skärmupplösning på användarens datorskärm (skärm)
Datum och tid då användaren avsiktligt eller oavsiktligt kommer åt Resofts produkter
Sidorna som användaren besöker med Resoft-produkterna (med eller utan kunskap om att använda Resoft-produkter, Snap.do)
Om användaren avsiktligt eller ovilligt länkade till en Resoft-webbplats från en annan hänvisande webbplats, adressen till den webbplatsen

Genom att använda Resoft-produkterna samtycker användaren till att få sina personuppgifter överförda till och behandlade både inom och utanför USA.

Genom att använda Resofts webbplats samtycker användaren till tidigare användningar av sin information på detta sätt av Resoft.

SourceForge Installer

Ett tidigare installationsprogram av SourceForge inkluderade adware- och PUP-installatörer.

En speciell ändrar webbläsarinställningarna för Firefox, Chrome och Internet Explorer för att visa webbplatsen "istartsurf.com" som hemsida. Den gör det genom att ändra registerinställningar och installera programvara som återställer inställningarna om användaren försöker ändra dem.

Den 1 juni 2015 hävdade SourceForge att de slutade koppla "tredje parts erbjudanden" med outhållna SourceForge-projekt.

Vosteran

Vosteran är en webbläsarkapare som ändrar webbläsarens hemsida och standardsökleverantör till vosteran.com. Denna infektion är i huvudsak buntad med andra tredjepartsprogram. Vosterans identitet skyddas av privacyprotect.org från Australien. Vosteran är registrerad genom Whiteknight.

Trovi

Det kan hittas när du installerar "Cheat Engine" eller en annan version av "VLC Player" på www.oldapps.com, eller när du laddar ner applikationer från vissa gratisprogramsajter, som Softonic.com eller Download.com.

Trovi använder Bing (en legitim sökmotor) för att ge resultat till användaren. Även om adressfältet ändras till Bing.com när sökresultat visas, exekveras sökord via Trovi ändå. Trovi använde tidigare sin egen webbplats för att visa sökresultat med logotypen i det övre vänstra hörnet på sidan, men bytte senare till Bing i ett försök att lura användare lättare. Trovi är inte lika dödlig som tidigare med att ta bort annonserna från sökresultaten beroende på vilken webbläsare som används, men anses fortfarande vara en webbläsarkapare.

Den kontrollerar också inställningarna för startsidan och ny flik för att förbjuda möjligheten att ändra dem tillbaka till de ursprungliga inställningarna. Beroende på vilken webbläsare som används kan annonser visas på sidan.

När den infekterar gör den en webbläsare omdirigering från Google och några andra sökmotorer till trovi.com.

Trovi skapades med hjälp av Conduit-verktygsfältstjänsten och har känt till att infektera på liknande sätt som Conduit-verktygsfältet.

^ "Fix för webbläsarkapning och borttagning av webbläsarkapning" . Microsoft . Hämtad 23 oktober 2012 .
^ ^a ^b "Malwarebytes potentiellt oönskade programkriterier" . Malwarebytes .
^ "Betygsätt de bästa lösningarna mot skadlig programvara" . Arstechnica. 2009-12-15 . Hämtad 28 januari 2014 .
^ "Threat Encyclopedia - Generic Grayware" . Trend Micro . Hämtad 27 november 2012 .
^ "PUP-kriterier" . Malwarebytes.
^ Mook, Nate (2006-09-06). "EarthLink kritiseras för DNS-omdirigeringar" . betaNews . Hämtad 9 maj 2012 .
^ "Mozilla spränger Microsoft för att göra det svårare att byta till Firefox i Windows 10" . The Verge . Vox Media. 2015-07-30 . Hämtad 18 oktober 2015 .
^ "PUA.Astromenda" . symantec.com .
^ "Hur man tar bort Astromenda-sökning från din webbläsare" . Lavasoft .
^ "Ta bort verktygsfältet Astromenda, Buzzdock och Extended Update från din webbläsare" . norton.com .
^ "Dregol Sökborttagning | Borttagningsguide" .
^ Att bli av med Babylon Jay Lee, The Houston Chronicle, 25 juli 2012
^ Leyden, John. "Download.com förlåt för att jag kombinerar Nmap med crapware" . www.theregister.com . Hämtad 2023-01-11 .
^ En anteckning från Sean angående Download.com Installer Arkiverad 2012-07-27 på Wayback Machine Download.com 7 december 2011
^ "Montiera" . montiera.com . Arkiverad från originalet den 3 december 2016 . Hämtad 13 januari 2022 .
^ "Hur man tar bort Search Protect by Conduit Ltd" . Lavasoft. 2013-06-01 . Hämtad 2013-10-12 .
^ "Bunta din programvara med ett anpassat verktygsfält och börja tjäna pengar" . Conduit Ltd. 2013. Arkiverad från originalet 2014-03-31 . Hämtad 2013-10-12 .
^ "Ladda ner mig II—Ta bort resterna av webbens farligaste söktermer" . Ars Technica . 2013-08-25 . Hämtad 2013-10-12 .
^ "Fixa BackgroundContainer.dll kvar av Conduit Ltd" . appualer . Hämtad 20 mars 2015 .
^ "Perion slutför förvärvet av Conduits ClientConnect och skapar en ledande leverantör av digitala lösningar för utgivare" ( Pressmeddelande). Tel Aviv, Israel; San Francisco. Business Wire. 2014-01-02 . Hämtad 2015-06-07 .
^ "Perion samarbetar med Lenovo för att skapa Lenovo Browser Guard" (Pressmeddelande). Tel Aviv, Israel; San Francisco. Business Wire. 2014-06-18 . Hämtad 2015-06-07 .
^ "Hur man tar bort Search Protect By Conduit Ltd" . Lavasoft . Hämtad 3 december 2014 .
^ "Ta bort istartsurf" . support.kaspersky.com . Kaspersky Lab . Hämtad 24 juni 2010 .
^ "Webbläsarkapare" (PDF) . MySearchCorp . Hämtad 3 juli 2012 . ^{[ permanent död länk ]}
^ "Hur man tar bort Snap.Do Browser Hijacker" . Lavasoft . Hämtad 4 augusti 2014 .
^ "istartsurf.com - webbläsarkapning - startsida på alla webbläsare | Endpoint SWAT: Skydda Endpoint Community" . community.broadcom.com . Hämtad 2023-01-11 .
^ "Tredjepartserbjudanden kommer endast att presenteras med opt-in-projekt - SourceForge Community Blog" . SourceForge Community Blog . 2015-06-01 . Hämtad 2018-08-16 .
^ "Ta bort Vosteran" . Hur man tar bort. 2014-11-25 . Hämtad 25 november 2014 .
^ "Hur man tar bort Trovi.com & Trovi Search från Mac eller Windows" . 2018-09-07 . Hämtad 2023-01-11 .

[1] "Fix för webbläsarkapning och borttagning av webbläsarkapning" . Microsoft . Hämtad 23 oktober 2012 .

[malwarebytes-2] "Malwarebytes potentiellt oönskade programkriterier" . Malwarebytes .

[3] "Betygsätt de bästa lösningarna mot skadlig programvara" . Arstechnica. 2009-12-15 . Hämtad 28 januari 2014 .

[4] "Threat Encyclopedia - Generic Grayware" . Trend Micro . Hämtad 27 november 2012 .

[PUP_Criteria-5] "PUP-kriterier" . Malwarebytes.

[6] Mook, Nate (2006-09-06). "EarthLink kritiseras för DNS-omdirigeringar" . betaNews . Hämtad 9 maj 2012 .

[verge-w10defaults-7] "Mozilla spränger Microsoft för att göra det svårare att byta till Firefox i Windows 10" . The Verge . Vox Media. 2015-07-30 . Hämtad 18 oktober 2015 .

[8] "PUA.Astromenda" . symantec.com .

[9] "Hur man tar bort Astromenda-sökning från din webbläsare" . Lavasoft .

[10] "Ta bort verktygsfältet Astromenda, Buzzdock och Extended Update från din webbläsare" . norton.com .

[11] "Dregol Sökborttagning | Borttagningsguide" .

[Getting_rid_of_Babylon-12] Att bli av med Babylon Jay Lee, The Houston Chronicle, 25 juli 2012

[13] Leyden, John. "Download.com förlåt för att jag kombinerar Nmap med crapware" . www.theregister.com . Hämtad 2023-01-11 .

[14] En anteckning från Sean angående Download.com Installer Arkiverad 2012-07-27 på Wayback Machine Download.com 7 december 2011

[15] "Montiera" . montiera.com . Arkiverad från originalet den 3 december 2016 . Hämtad 13 januari 2022 .

[16] "Hur man tar bort Search Protect by Conduit Ltd" . Lavasoft. 2013-06-01 . Hämtad 2013-10-12 .

[17] "Bunta din programvara med ett anpassat verktygsfält och börja tjäna pengar" . Conduit Ltd. 2013. Arkiverad från originalet 2014-03-31 . Hämtad 2013-10-12 .

[18] "Ladda ner mig II—Ta bort resterna av webbens farligaste söktermer" . Ars Technica . 2013-08-25 . Hämtad 2013-10-12 .

[19] "Fixa BackgroundContainer.dll kvar av Conduit Ltd" . appualer . Hämtad 20 mars 2015 .

[PerionConduitClientClonnectAcquisitionPressRelease-20] "Perion slutför förvärvet av Conduits ClientConnect och skapar en ledande leverantör av digitala lösningar för utgivare" ( Pressmeddelande). Tel Aviv, Israel; San Francisco. Business Wire. 2014-01-02 . Hämtad 2015-06-07 .

[LenovoBrowserGuard-21] "Perion samarbetar med Lenovo för att skapa Lenovo Browser Guard" (Pressmeddelande). Tel Aviv, Israel; San Francisco. Business Wire. 2014-06-18 . Hämtad 2015-06-07 .

[22] "Hur man tar bort Search Protect By Conduit Ltd" . Lavasoft . Hämtad 3 december 2014 .

[kaspersky-23] "Ta bort istartsurf" . support.kaspersky.com . Kaspersky Lab . Hämtad 24 juni 2010 .

[24] "Webbläsarkapare" (PDF) . MySearchCorp . Hämtad 3 juli 2012 . ^{[ permanent död länk ]}

[25] "Hur man tar bort Snap.Do Browser Hijacker" . Lavasoft . Hämtad 4 augusti 2014 .

[26] "istartsurf.com - webbläsarkapning - startsida på alla webbläsare | Endpoint SWAT: Skydda Endpoint Community" . community.broadcom.com . Hämtad 2023-01-11 .

[27] "Tredjepartserbjudanden kommer endast att presenteras med opt-in-projekt - SourceForge Community Blog" . SourceForge Community Blog . 2015-06-01 . Hämtad 2018-08-16 .

[how-to-remove-28] "Ta bort Vosteran" . Hur man tar bort. 2014-11-25 . Hämtad 25 november 2014 .

[29] "Hur man tar bort Trovi.com & Trovi Search från Mac eller Windows" . 2018-09-07 . Hämtad 2023-01-11 .