Browser hijacking

Browser hijacking este o formă de software nedorit care modifică setările unui browser web fără permisiunea utilizatorului, pentru a injecta publicitate nedorită în browserul utilizatorului. Un browser hijacker poate înlocui pagina de pornire, pagina de eroare sau motorul de căutare existent cu propriul motor de căutare.^[1] În general, acestea sunt folosite pentru a forța accesarea^⁠(d) unui anumit site web, mărind astfel veniturile din publicitate.

Unii browser hijackeri conțin, de asemenea, programe spion, de exemplu, unii instalează un software keylogger pentru a colecta informații precum detalii bancare și de autentificare a e-mailurilor. Unii browser hijackeri pot, de asemenea, să deterioreze registrul sistemelor Windows, adesea în mod permanent.

În timp ce unele cazuri de deturnare a browserului pot fi inversate cu ușurință, alte cazuri pot fi dificil de inversat. Există diverse pachete de software pentru a preveni astfel de modificări.

Multe programe de deturnare a browserului sunt incluse în pachete de software pe care utilizatorul nu le-a ales și sunt incluse ca „oferte” în programul de instalare pentru un alt program, adesea fără instrucțiuni de dezinstalare sau documentație despre ceea ce fac, și sunt prezentate într-un mod care este conceput pentru a crea confuzie pentru utilizatorul obișnuit, pentru a-l păcăli să instaleze un software suplimentar nedorit.^[2]^[3]^[4]^[5]

Există mai multe metode pe care browser hijackerii le folosesc pentru a intra într-un sistem de operare. Atașamentele de e-mail și fișierele descărcate prin intermediul site-urilor web suspecte și al torrentelor sunt tactici comune pe care le folosesc browser hijackerii.

Securitate[modificare | modificare sursă]

Software de securitate dăunător[modificare | modificare sursă]

Unele programe de securitate dăunătoare vor deturna, de asemenea, pagina de start, afișând, în general, un mesaj de genul „AVERTISMENT! Computerul dumneavoastră este infectat cu spyware!” pentru a conduce la pagina unui furnizor de antispyware. Pagina de start va reveni la setările normale odată ce utilizatorul cumpără software-ul lor. Programe precum WinFixer^⁠(d) sunt cunoscute pentru că deturnează pagina de start a utilizatorului și o redirecționează către un alt site web.

Pagini de domeniu inexistente[modificare | modificare sursă]

Sistemul Numelor de Domenii este interogat atunci când un utilizator tastează numele unui site web (de exemplu, wikipedia.org), iar DNS-ul returnează adresa IP a site-ului, dacă aceasta există. În cazul în care un utilizator introduce greșit numele unui site web, DNS-ul va returna un răspuns de tip NXDOMAIN (Non-Existent Domain).

În 2006, EarthLink^⁠(d) a început să redirecționeze numele de domenii scrise greșit către o pagină de căutare. Acest lucru a fost realizat prin interpretarea codului de eroare NXDOMAIN la nivelul serverului. Anunțul a dus la multe reacții negative, iar EarthLink a oferit servicii fără această funcție.^[6]

Operațiune[modificare | modificare sursă]

Adesea, programele nedorite nu includ niciun semn că sunt instalate și nici instrucțiuni de dezinstalare sau de renunțare.^[2]

Cele mai multe programe de deturnare modifică în mod constant setările browserelor, ceea ce înseamnă că opțiunile utilizatorului în propriul browser sunt suprascrise. Unele programe antivirus identifică programele de deturnare a browserului ca fiind programe malițioase și le pot elimina. Unele programe de scanare a programelor spyware au o funcție de restaurare a browserului pentru a readuce setările browserului utilizatorului la normal sau pentru a-l avertiza când pagina browserului său a fost modificată.

Evitare[modificare | modificare sursă]

Începând cu Microsoft Windows 10, browserele web nu se mai pot seta ca fiind cele implicite pentru utilizator fără o intervenție suplimentară; schimbarea browserului web implicit trebuie efectuată manual de către utilizator din pagina „Aplicații implicite” din Setări, aparent pentru a preveni deturnarea browserului.^[7]

Exemple de deturnători[modificare | modificare sursă]

O serie de hijackeri modifică pagina de pornire a browserului, afișează reclame și/sau setează motorul de căutare implicit; printre aceștia se numără Astromenda (www.astromenda.com);^[8]^[9]^[10] Ask Toolbar (ask.com); ESurf (esurf.biz) Binkiland (binkiland.com); Delta și Claro; Dregol;^[11] Jamenizez; Mindspark; Groovorio; Sweet Page; Mazy Search; Search Protect by Conduit împreună cu search.conduit.com și variantele; Tuvaro; Spigot; ro.4yendex.com; Yahoo; etc.

Bara de instrumente Babylon[modificare | modificare sursă]

Babylon Toolbar este un browser hijacker care va schimba pagina de start a browserului și va seta motorul de căutare implicit pe isearch.babylon.com. Este, de asemenea, o formă de adware. Afișează reclame, link-uri sponsorizate și rezultate false de căutare plătite. Programul va colecta termenii de căutare din interogările dumneavoastră de căutare.

Software-ul de traducere Babylon solicită adăugarea barei de instrumente Babylon la instalare. Bara de instrumente este, de asemenea, inclusă ca un add-on în alte programe descărcate.^[12]

În 2011, site-ul CNet Download.com a început să includă bara de instrumente Babylon în pachete open-source, cum ar fi Nmap. Gordon Lyon, a fost supărat de modul în care utilizatorii software-ului său au fost păcăliți să folosească bara de instrumente.^[13] Vicepreședintele site-ului Download.com, Sean Murphy, a publicat scuze: Împachetarea acestui software a fost o greșeală din partea noastră și ne cerem scuze comunităților de utilizatori și dezvoltatori pentru tulburările pe care le-a provocat.^[14]

Există variante similare ale barei de instrumente Babylon și ale paginii de pornire a căutării, inclusiv: Bueno Search, Delta Search, Claro Search și Search GOL. Toate aceste variante declară că sunt deținute de Babylon în termenii serviciului.

Toate barele de instrumente au fost create de Montiera.^[15]

Conduit (Search Protect)[modificare | modificare sursă]

Conduit este un PUP / hijacker. Acesta fură informații personale și confidențiale de la utilizator și le transferă către o terță parte. Această bară de instrumente a fost identificată ca fiind un Program potențial nedorit (PUP) de către Malwarebytes^[16] și este de obicei inclusă în descărcări gratuite.^[17] Aceste bare de instrumente modifică motorul de căutare implicit al browserului, pagina de pornire, pagina de tab nou și alte câteva setări ale browserului. Există variante similare ale lui Conduit Search, cum ar fi trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb.com, împreună cu alte variante care au fost create într-un mod personalizat pentru serviciul de creare de bare de instrumente pe care Conduit Ltd obișnuia să îl ofere.

Un program numit „Conduit Search Protect”, mai bine cunoscut sub numele de „Search Protect by conduit”, poate cauza erori grave de sistem la dezinstalare. Acesta pretinde că protejează setările browserului, dar de fapt blochează toate încercările de a manipula un browser prin intermediul paginii de setări; cu alte cuvinte, se asigură că setările malițioase rămân neschimbate. Search Protect are o opțiune pentru a schimba pagina de pornire a căutării de la pagina de pornire „recomandată” Trovi, însă utilizatorii au raportat că aceasta se schimbă înapoi la Trovi după o perioadă de timp. Programul de dezinstalare pentru Search Programul de dezinstalare pentru Search Protect poate face ca Windows să nu mai poată fi pornit, deoarece fișierul de dezinstalare nu numai că își elimină propriile fișiere, ci și toate fișierele de pornire din rădăcina unității C: și lasă un fișier BackGroundContainer.dll în registrul de pornire.^[18] Conduit este asociat cu malware, spyware și adware, deoarece victimele acestui hijacker au raportat pop-up-uri nedorite și reclame încorporate în text, pe site-uri fără reclame.

Perion Network Ltd. a achiziționat afacerea ClientConnect a Conduit la începutul lunii ianuarie 2014, iar ulterior a încheiat un parteneriat cu Lenovo pentru a crea Lenovo Browser Guard, care utilizează componente ale Search Protect.

Victimele redirecționărilor nedorite către conduit.com au raportat, de asemenea, că au fost atacate prin încercări de phishing și au primit spam-uri nedorite prin e-mail, mesaje nedorite, alte mesaje și apeluri telefonice de la agenți de telemarketing. Unele victime susțin că cei care au sunat au pretins că sunt Apple, Microsoft sau furnizorul lor de servicii de internet și li s-a spus că în unele apeluri telefonice au fost folosite informații personale și că unele dintre apeluri se refereau la obiceiurile lor de navigare și la istoricul de navigare recent. Informațiile personale utilizate în încercările de phishing pot fi asociate cu spyware.^[19]

startsurf.com[modificare | modificare sursă]

Browser hijackerul istartsurf.com poate înlocui instrumentele de căutare preferate. Această infecție circulă la pachet cu aplicații terțe și instalarea sa poate fi silențioasă. Din acest motiv, utilizatorii afectați nu sunt conștienți că hijackerul le-a infectat browserele Internet Explorer, Google Chrome sau Mozilla Firefox.^[20]

Search-dayly.com[modificare | modificare sursă]

Search-daily.com este un hijacker care poate fi descărcat de troianul Zlob. Acesta redirecționează căutările utilizatorului către site-uri pornografice. De asemenea, este cunoscut pentru faptul că încetinește performanța calculatorului.^[21]

Snap.do[modificare | modificare sursă]

Snap.do (Smartbar dezvoltat de Resoft) este un malware potențial, clasificat ca browser hijacker și spyware, care face ca browserele de internet să fie redirecționate către motorul de căutare snap.do. Snap.Do poate fi descărcat manual de pe site-ul Resoft, deși mulți utilizatori sunt prinși în capcană de termenii lor lipsiți de etică. Afectează Windows și poate fi eliminat prin intermediul meniului Add/Remove program. De asemenea, Snap.Do poate descărca multe bare de instrumente, add-on-uri și plug-in-uri malițioase, precum DVDVideoSoftTB, General Crawler și Save Valet.

General Crawler, instalat de Snap.do, este cunoscut pentru faptul că folosește un proces de tip backdoor, deoarece se reinstalează și se reactivează de fiecare dată când un utilizator afectat îl elimină prin intermediul browserului(lor).

Snap.do va dezactiva opțiunea de a vă schimba pagina de start și motorul de căutare implicit.

Resoft va urmări următoarele informații:

Domeniul de internet și adresa IP de la care utilizatorul accesează produsele Resoft (locație, ID, etc.).

Rezoluția ecranului monitorului computerului (display) utilizatorului

Data și ora la care utilizatorul accesează în mod intenționat sau neintenționat produsele Resoft

Paginile pe care utilizatorul le vizitează cu ajutorul produselor Resoft (cu sau fără să știe că utilizează produsele Resoft, Snap.do)

În cazul în care utilizatorul s-a conectat, cu sau fără voia sa, la un site web Resoft de pe un alt site web de trimitere, adresa acelui site

Prin utilizarea produselor Resoft, utilizatorul consimte ca datele sale cu caracter personal să fie transferate și prelucrate atât în interiorul, cât și în afara Statelor Unite ale Americii.

Prin utilizarea site-ului web Resoft, utilizatorul este de acord cu utilizările precedente ale informațiilor sale în acest mod de către Resoft.^[22]

Programul de instalare SourceForge[modificare | modificare sursă]

Un program de instalare anterior al SourceForge a includea instalatori de adware și PUP. ^[23]

Unul dintre ele modifică setările browserului Firefox, Chrome și Internet Explorer pentru a afișa site-ul „istartsurf.com” ca pagină de pornire. Face acest lucru prin modificarea setărilor din registru și instalarea unui software care resetează setările dacă utilizatorul încearcă să le modifice.

La 1 iunie 2015, SourceForge a susținut că a încetat să mai cupleze „ofertele terților” cu proiectele SourceForge care nu sunt întreținute.^[24]

Vosteran[modificare | modificare sursă]

Vosteran este un browser hijacker care schimbă pagina de start a browserului și furnizorul de căutare implicit în vosteran.com. Această infecție este, în esență, la pachet cu alte aplicații terțe. Identitatea lui Vosteran este protejată de către privacyprotect.org din Australia. Vosteran este înregistrat prin Whiteknight.^[25]

Trovi[modificare | modificare sursă]

Acesta poate fi găsit atunci când se instalează „Cheat Engine” sau o versiune diferită de „VLC Player” pe www.oldapps.com, sau atunci când se descarcă aplicații de pe anumite site-uri de programe gratuite, cum ar fi Softonic.com sau Download.com.

Trovi utilizează Bing (un motor de căutare legitim) pentru a furniza rezultate utilizatorului. Deși bara de adrese se schimbă în Bing.com atunci când afișează rezultatele căutării, cuvintele cheie ale căutării sunt executate prin Trovi, indiferent. Trovi folosea anterior propriul site web pentru a afișa rezultatele căutării cu logo-ul din colțul din stânga sus al paginii, dar ulterior a trecut la Bing în încercarea de a păcăli mai ușor utilizatorii. Trovi nu mai este la fel de periculos ca înainte cu scoaterea reclamelor din rezultatele căutării în funcție de ce browser este folosit, dar este în continuare considerat un browser hijacker.

De asemenea, controlează setările paginii de pornire și ale paginii de tab nou pentru a interzice posibilitatea de a le readuce la setările originale. În funcție de browserul utilizat, este posibil să apară reclame pe pagină.

Când se infectează, face o redirecționare a browserului de la Google și alte motoare de căutare către trovi.com.^[26]

Trovi a fost creat cu ajutorul serviciului de creare a barelor de instrumente Conduit și se știe că infectează în moduri similare cu bara de instrumente Conduit.

Note[modificare | modificare sursă]

^ „Browser Hijacking Fix & Browser Hijacking Removal”. Microsoft. Arhivat din original la 7 februarie 2015. Accesat în 23 octombrie 2012.
^ ^a ^b „Malwarebytes Potentially Unwanted Program Criteria”. Malwarebytes. Arhivat din original la 9 aprilie 2016. Accesat în 7 august 2015.
^ „Rating the best anti-malware solutions”. Arstechnica. 15 decembrie 2009. Arhivat din original la 2 februarie 2014. Accesat în 28 ianuarie 2014.
^ „Threat Encyclopedia – Generic Grayware”. Trend Micro. Arhivat din original la 14 iulie 2014. Accesat în 27 noiembrie 2012.
^ „PUP Criteria”. Malwarebytes. Arhivat din original la 9 aprilie 2016. Accesat în 6 ianuarie 2019.
^ Mook, Nate (6 septembrie 2006). „EarthLink Criticized for DNS Redirects”. betaNews. Arhivat din original la 1 mai 2012. Accesat în 9 mai 2012.
^ „Mozilla blasts Microsoft for making it harder to switch to Firefox in Windows 10”. The Verge. Vox Media. 30 iulie 2015. Arhivat din original la 31 iulie 2015. Accesat în 18 octombrie 2015.
^ „PUA.Astromenda”. Symantec^⁠(d). Arhivat din original la 8 septembrie 2015. Accesat în 24 august 2015.
^ „How to Remove Astromenda Search From Your Browser”. Lavasoft. Arhivat din original la 5 septembrie 2015. Accesat în 24 august 2015.
^ „Remove Astromenda, Buzzdock and Extended Update toolbar from your browser”. norton.com. Arhivat din original la 25 septembrie 2015. Accesat în 24 august 2015.
^ „Dregol Search Removal | Removal Guide”. Arhivat din original la 10 aprilie 2021. Accesat în 22 martie 2016.
^ Getting rid of Babylon Arhivat în 26 octombrie 2012, la Wayback Machine. Jay Lee, The Houston Chronicle, July 25, 2012
^ Leyden, John. „Download.com sorry for bundling Nmap with crapware”. www.theregister.com (în engleză). Arhivat din original la 11 ianuarie 2023. Accesat în 11 ianuarie 2023.
^ A note from Sean regarding the Download.com Installer Arhivat în 27 iulie 2012, la Wayback Machine. Download.com December 7, 2011
^ „Montiera”. montiera.com. Arhivat din original la 3 decembrie 2016. Accesat în 13 ianuarie 2022.
^ „How to remove Search Protect by Conduit Ltd”. Lavasoft. 1 iunie 2013. Arhivat din original la 10 septembrie 2014. Accesat în 12 octombrie 2013.
^ „Download me II—Removing the remnants of the Web's most dangerous search terms”. Ars Technica^⁠(d). 25 august 2013. Arhivat din original la 1 octombrie 2013. Accesat în 12 octombrie 2013.
^ „Fixing BackgroundContainer.dll Left Over by Conduit Ltd”. appuals. Arhivat din original la 26 martie 2015. Accesat în 20 martie 2015.
^ „How To Remove Search Protect By Conduit Ltd”. Lavasoft. Arhivat din original la 2 decembrie 2014. Accesat în 3 decembrie 2014.
^ „Remove istartsurf”. support.kaspersky.com. Kaspersky Lab. Arhivat din original la 30 septembrie 2013. Accesat în 24 iunie 2010.
^ „Browser Hijacker”. nodsrv. 31 iulie 2023.
^ „How To Remove Snap.Do Browser Hijacker”. Lavasoft. Arhivat din original la 8 august 2014. Accesat în 4 august 2014.
^ „istartsurf.com - browser hijacking - startup page on all browsers | Endpoint SWAT: Protect the Endpoint Community”. community.broadcom.com. Arhivat din original la 11 ianuarie 2023. Accesat în 11 ianuarie 2023.
^ „Third party offers will be presented with Opt-In projects only - SourceForge Community Blog”. SourceForge Community Blog (în engleză). 1 iunie 2015. Arhivat din original la 11 august 2018. Accesat în 16 august 2018.
^ „Remove Vosteran”. How To Remove. 25 noiembrie 2014. Arhivat din original la 13 februarie 2015. Accesat în 25 noiembrie 2014.
^ „How To Remove Trovi.com & Trovi Search From Mac Or Windows” (în engleză). 7 septembrie 2018. Arhivat din original la 5 decembrie 2022. Accesat în 11 ianuarie 2023.

[1] „Browser Hijacking Fix & Browser Hijacking Removal”. Microsoft. Arhivat din original la 7 februarie 2015. Accesat în 23 octombrie 2012.

[malwarebytes-2] „Malwarebytes Potentially Unwanted Program Criteria”. Malwarebytes. Arhivat din original la 9 aprilie 2016. Accesat în 7 august 2015.

[3] „Rating the best anti-malware solutions”. Arstechnica. 15 decembrie 2009. Arhivat din original la 2 februarie 2014. Accesat în 28 ianuarie 2014.

[4] „Threat Encyclopedia – Generic Grayware”. Trend Micro. Arhivat din original la 14 iulie 2014. Accesat în 27 noiembrie 2012.

[PUP_Criteria-5] „PUP Criteria”. Malwarebytes. Arhivat din original la 9 aprilie 2016. Accesat în 6 ianuarie 2019.

[6] Mook, Nate (6 septembrie 2006). „EarthLink Criticized for DNS Redirects”. betaNews. Arhivat din original la 1 mai 2012. Accesat în 9 mai 2012.

[verge-w10defaults-7] „Mozilla blasts Microsoft for making it harder to switch to Firefox in Windows 10”. The Verge. Vox Media. 30 iulie 2015. Arhivat din original la 31 iulie 2015. Accesat în 18 octombrie 2015.

[8] „PUA.Astromenda”. Symantec^⁠(d). Arhivat din original la 8 septembrie 2015. Accesat în 24 august 2015.

[9] „How to Remove Astromenda Search From Your Browser”. Lavasoft. Arhivat din original la 5 septembrie 2015. Accesat în 24 august 2015.

[10] „Remove Astromenda, Buzzdock and Extended Update toolbar from your browser”. norton.com. Arhivat din original la 25 septembrie 2015. Accesat în 24 august 2015.

[11] „Dregol Search Removal | Removal Guide”. Arhivat din original la 10 aprilie 2021. Accesat în 22 martie 2016.

[Getting_rid_of_Babylon-12] Getting rid of Babylon Arhivat în 26 octombrie 2012, la Wayback Machine. Jay Lee, The Houston Chronicle, July 25, 2012

[13] Leyden, John. „Download.com sorry for bundling Nmap with crapware”. www.theregister.com (în engleză). Arhivat din original la 11 ianuarie 2023. Accesat în 11 ianuarie 2023.

[14] A note from Sean regarding the Download.com Installer Arhivat în 27 iulie 2012, la Wayback Machine. Download.com December 7, 2011

[15] „Montiera”. montiera.com. Arhivat din original la 3 decembrie 2016. Accesat în 13 ianuarie 2022.

[16] „How to remove Search Protect by Conduit Ltd”. Lavasoft. 1 iunie 2013. Arhivat din original la 10 septembrie 2014. Accesat în 12 octombrie 2013.

[17] „Download me II—Removing the remnants of the Web's most dangerous search terms”. Ars Technica^⁠(d). 25 august 2013. Arhivat din original la 1 octombrie 2013. Accesat în 12 octombrie 2013.

[18] „Fixing BackgroundContainer.dll Left Over by Conduit Ltd”. appuals. Arhivat din original la 26 martie 2015. Accesat în 20 martie 2015.

[19] „How To Remove Search Protect By Conduit Ltd”. Lavasoft. Arhivat din original la 2 decembrie 2014. Accesat în 3 decembrie 2014.

[kaspersky-20] „Remove istartsurf”. support.kaspersky.com. Kaspersky Lab. Arhivat din original la 30 septembrie 2013. Accesat în 24 iunie 2010.

[21] „Browser Hijacker”. nodsrv. 31 iulie 2023.

[22] „How To Remove Snap.Do Browser Hijacker”. Lavasoft. Arhivat din original la 8 august 2014. Accesat în 4 august 2014.

[23] „istartsurf.com - browser hijacking - startup page on all browsers | Endpoint SWAT: Protect the Endpoint Community”. community.broadcom.com. Arhivat din original la 11 ianuarie 2023. Accesat în 11 ianuarie 2023.

[24] „Third party offers will be presented with Opt-In projects only - SourceForge Community Blog”. SourceForge Community Blog (în engleză). 1 iunie 2015. Arhivat din original la 11 august 2018. Accesat în 16 august 2018.

[how-to-remove-25] „Remove Vosteran”. How To Remove. 25 noiembrie 2014. Arhivat din original la 13 februarie 2015. Accesat în 25 noiembrie 2014.

[26] „How To Remove Trovi.com & Trovi Search From Mac Or Windows” (în engleză). 7 septembrie 2018. Arhivat din original la 5 decembrie 2022. Accesat în 11 ianuarie 2023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]