브라우저 가로채기

Browser hijacking

브라우저 하이잭킹은 사용자 허락 없이 웹 브라우저의 설정을 수정하여 사용자의 브라우저에 원하지 않는 광고를 주입하는 원하지 않는 소프트웨어의 일종이다.브라우저 납치범은 기존의 홈 페이지, 에러 페이지 또는 검색 엔진을 자신의 것으로 대체할 수 있다.[1]이것들은 일반적으로 특정 웹사이트접속을 강요하여 그것의 광고 수익을 증가시키는 데 사용된다.

일부 브라우저 납치범들은 스파이웨어를 포함하기도 한다. 예를 들어, 일부는 은행 업무나 이메일 인증 세부사항과 같은 정보를 수집하기 위해 소프트웨어 키로거를 설치한다.일부 브라우저 납치범들은 또한 종종 영구적으로 윈도우 시스템의 레지스트리를 손상시킬 수 있다.

일부 브라우저 가로채기는 쉽게 되돌릴 수 있지만, 다른 경우는 되돌리기가 어려울 수 있다.이러한 수정을 방지하기 위해 다양한 소프트웨어 패키지가 존재한다.

많은 브라우저 가로채기 프로그램은 사용자가 선택하지 않은 소프트웨어 번들에 포함되며 다른 프로그램의 설치 프로그램에 "오퍼"로 포함되며, 종종 제거 지침이나 그 작업에 대한 설명서가 포함되지 않으며, 일반적인 사용자가 설치하도록 속이도록 설계된 방법으로 제시된다.원치 않는 추가 소프트웨어.[2][3][4][5]

브라우저 납치범들이 운영 체제에 들어가기 위해 사용하는 몇 가지 방법이 있다.의심스러운 웹사이트와 급류에 의해 다운로드된 이메일 첨부 파일과 파일은 브라우저 납치범들이 사용하는 일반적인 전술이다.[citation needed]

보안

로그 보안 소프트웨어

일부 악성 보안 소프트웨어도 시작 페이지를 가로채게 되는데, 일반적으로 스파이웨어 방지 공급업체의 페이지로 유도하기 위해 "WARNING! your computer is spyware!"와 같은 메시지를 표시한다.사용자가 소프트웨어를 구입하면 시작 페이지가 정상 설정으로 돌아간다.윈픽서와 같은 프로그램은 사용자의 시작 페이지를 가로채 다른 웹사이트로 리디렉션하는 것으로 알려져 있다.

존재하지 않는 도메인 페이지

도메인 네임 시스템은 사용자가 웹 사이트 이름(예: wikipedia.org)을 입력하면 쿼리되고 DNS가 웹 사이트의 IP 주소를 반환할 경우 쿼리된다.사용자가 웹 사이트 이름을 잘못 입력하면 DNS가 존재하지 않는 도메인(NXDOMA) 응답을 반환한다.

2006년에 EarthLink는 검색 페이지로 잘못 입력된 도메인 이름을 리디렉션하기 시작했다.이것은 서버 레벨에서 오류 코드 NXDOME을 해석함으로써 이루어졌다.이 발표는 많은 부정적인 피드백으로 이어졌고, EarthLink는 이 기능이 없는 서비스를 제공했다.[6]

작전

원하지 않는 프로그램에는 설치된 표시가 없고 제거 또는 선택 해제 명령이 없는 경우가 많다.[2]

대부분의 하이잭킹 프로그램은 브라우저의 설정을 지속적으로 변경하는데, 이는 자신의 브라우저에서 사용자 선택이 덮어쓰여진다는 것을 의미한다.일부 바이러스 백신 소프트웨어는 브라우저 가로채기 소프트웨어를 악성 소프트웨어로 식별하여 제거할 수 있다.일부 스파이웨어 검색 프로그램에는 브라우저 복원 기능이 있어 사용자의 브라우저 설정을 정상으로 설정하거나 브라우저 페이지가 변경되면 이를 경고한다.

회피

Microsoft Windows 10의 경우, 웹 브라우저는 더 이상 추가 개입 없이 사용자의 기본 브라우저로 설정할 수 없으며, 표면적으로는 브라우저 가로채기를 방지하기 위해 Settings의 "Default appes" 페이지에서 사용자가 기본 웹 브라우저를 변경해야 한다.[7]

납치범들의 예

납치범들의 수, 또는 그 기본 검색 엔진을 돌아가게 했다; 이러한 Astromenda(www.astromenda.com);[8][9][10]에게 물어보세요 툴바(ask.com);ESurf(esurf.biz)Binkiland(binkiland.com);델타 지역과 클레오;Dregol,[11]Jamenize, Mindspark, Groovorio, 스위트 페이지, 미로형 다중 이용 검색;검색 보호하다 도관에 의해 w. 등 브라우저 홈페이지, 디스플레이 광고 바꾼다ith search.conduit.com변형 모델Tuvaro; Spigot; en.4yendex.com; Yahoo 등.

바빌론 툴바

바빌론 툴바는 브라우저 홈페이지를 변경하고 기본 검색엔진을 isearch.babylon.com으로 설정하는 브라우저 하이잭커다.애드웨어의 일종이기도 하다.광고, 후원 링크, 허위 유료 검색 결과 등을 전시한다.프로그램은 검색 질의에서 검색어를 수집할 것이다.

바빌론의 번역 소프트웨어는 설치 시 바빌론 도구 모음을 추가하라는 지시를 내린다.도구 모음은 다른 소프트웨어 다운로드와 함께 추가 기능으로 함께 제공된다.[12]

2011년 CNet 사이트 Download.comNmap과 같은 오픈소스 패키지와 함께 바빌론 툴바를 번들이기 시작했다.Nmap의 개발자인 Gordon Lyon은 그의 소프트웨어 사용자들이 툴바를 사용하도록 속이는 방식에 대해 화가 났다.[13]Download.com의 부사장인 숀 머피는 사과문을 발표했다.이 소프트웨어의 번들은 우리의 실수였고 우리는 그것이 야기시킨 불안감에 대해 사용자와 개발자 커뮤니티에 사과한다.[14]

바빌론 툴바와 검색 홈페이지에는 다음과 같은 유사한 변종이 존재한다.부에노 서치, 델타 서치, 클라로 서치, 서치 GOL. 이 모든 변종들은 서비스 측면에서 바빌론이 소유하게 되어 있다.

모든 도구 모음은 몬티에라에 의해 만들어졌다.[15]

배선(검색 보호)

도관은 PUP/납치범이다.이용자로부터 개인정보와 기밀정보를 도용해 제3자에게 전송한다.이 도구 모음은 멀웨어바이트[16] 의해 잠재적으로 원하지 않는 프로그램(PUP)으로 식별되었으며 일반적으로 무료 다운로드와 함께 번들로 제공된다.[17][18]이러한 도구 모음은 브라우저의 기본 검색 엔진, 홈페이지, 새 탭 페이지 및 몇 가지 다른 브라우저 설정을 수정한다.trovi.com, trovigo.com, better-search.net, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, search-armor.com, searchthatup.com, premiumsearchweb.com과 같은 유사한 유형의 도관 검색이 있으며, 툴바 생성 서비스를 위해 맞춤형으로 만들어졌다.[citation needed]

"도관별 검색 보호"로 더 잘 알려진 "Conduit Search Protect"라는 프로그램은 제거 시 심각한 시스템 오류를 일으킬 수 있다.브라우저 설정을 보호한다고 주장하지만 실제로는 설정 페이지를 통해 브라우저를 조작하려는 모든 시도를 차단한다. 즉, 악의적인 설정을 변경하지 않도록 한다.Search Protect는 "권장된" 검색 홈 페이지 트로비에서 검색 홈페이지를 변경할 수 있는 옵션이 있지만, 사용자들은 일정 시간이 지나면 트로비로 다시 변경하는 것을 보고해왔다.[citation needed]Search Protect의 제거 프로그램은 제거 파일이 자체 파일뿐만 아니라 C: 드라이브의 루트에 있는 모든 부트 파일도 제거하며 시작 레지스트리에 BackGroundContainer.dll 파일을 남겨두기 때문에 Windows를 부팅할 수 없게 할 수 있다.[citation needed][19]도관은 악성 프로그램, 스파이웨어애드웨어와 연관되어 있는데, 이 납치범의 피해자들이 광고 없이 사이트에 원치 않는 팝업과 내장 텍스트 광고를 보고했기 때문이다.

페리온네트웍스는 2014년 1월 초 도관의 클라이언트커넥트 사업을 인수했고 이후 레노버와 제휴해 서치프로텍트 컴포넌트를 활용한 [21]레노버 브라우저 가드를 만들었다.[20]

conduit.com에 대한 원하지 않는 재조정의 피해자들은 피싱 시도에 의해 공격당했고 텔레마케터들로부터 원하지 않는 이메일 스팸, 정크 메일, 기타 메시지, 전화를 받았다고 보고했다.일부 피해자들은 전화를 건 사람들이 애플이나 마이크로소프트, ISP라고 주장하면서 일부 전화에서는 개인정보가 사용됐고, 일부 통화에서는 검색 습관과 최근 검색 이력이 우려된다고 주장하고 있다.피싱 시도에 사용되는 개인 정보는 스파이웨어와 연관될 수 있다.[22]

istartsurf.com

브라우저 하이잭커 istartsurf.com은 선호하는 검색 도구를 대체할 수 있다.이 감염은 타사 애플리케이션과 함께 번들로 이동하며, 설치는 무음일 수 있다.이 때문에 피폭된 이용자들은 납치범이 자신의 Internet Explorer, Google Chrome 또는 Mozilla Firefox 브라우저를 감염시켰다는 사실을 알지 못한다.[23]

Search-daily.com

Search-daily.comZlob 트로이 목마가 다운로드 할 수 있는 납치범이다.사용자의 검색을 포르노 사이트로 리디렉션한다.컴퓨터 성능을 저하시킨다고도 알려져 있다.[24]

Snap.do

Snap.do(Resoft가 개발한 Smartbar)은 인터넷 브라우저가 snap.do 검색 엔진으로 리디렉션되도록 하는 잠재적 악성 소프트웨어로 브라우저 하이잭커와 스파이웨어로 분류된다.스냅.도(Snap.Do)는 Resoft 웹 사이트에서 수동으로 다운로드할 수 있지만, 많은 사용자가 비윤리적인 용어에 얽매여 있다.Windows에 영향을 미치며 프로그램 추가/제거 메뉴를 통해 제거할 수 있다.또한 DVDVideoSoft와 같은 많은 악성 도구 모음, 추가 기능 및 플러그인을 다운로드할 수 있음TB, 크롤러 장군, 발렛을 구하라

Snap.do이 설치한 제너럴 크롤러는 그동안 백도어 프로세스를 이용하는 것으로 알려졌는데, 영향을 받은 사용자가 브라우저를 통해 제거할 때마다 백도어 프로세스를 재조정하고 재조정하기 때문이다.

Snap.do은 당신의 홈페이지와 기본 검색엔진을 변경하는 옵션을 비활성화할 것이다.

재소프트는 다음 정보를 추적한다.

  • 사용자가 Resoft 제품에 액세스하는 인터넷 도메인 및 IP 주소(위치, ID 등)
  • 사용자 컴퓨터 모니터(디스플레이)의 화면 해상도
  • 사용자가 의도하거나 의도하지 않게 Resoft 제품에 액세스하는 날짜 및 시간
  • 사용자가 Resoft 제품(Resoft 제품 사용 여부에 관계없이, Snap.do)과 함께 방문 중인 페이지
  • 사용자가 다른 참조 웹사이트에서 Resoft 웹사이트에 기꺼이 또는 원치 않게 링크된 경우, 해당 사이트의 주소

사용자는 Resoft Products를 사용함으로써 미국 내외에서 개인 데이터를 전송하고 처리하는데 동의한다.

리소프트 웹사이트를 사용함으로써, 사용자는 리소프트가 이전에 사용했던 정보 이용에 동의한다.[25]

SourceForge 설치 프로그램

이전의 SourceForge 설치자에는 애드웨어와 PUP 설치자가 포함되었다.[26]

한 가지 특별한 것은 파이어폭스, 크롬, Internet Explorer의 브라우저 설정을 변경하여 웹사이트 "istartsurf.com"을 홈페이지로 표시한다.레지스트리 설정을 변경하고 사용자가 설정을 변경하려고 할 때 재설정하는 소프트웨어를 설치함으로써 그렇게 한다.

2015년 6월 1일, SourceForge는 유지되지 않은 SourceForge 프로젝트와 "제3자 제안"의 결합을 중단했다고 주장했다.[27]

보스테란

보스테란은 브라우저의 홈 페이지와 기본 검색 공급자를 vosteran.com으로 변경하는 브라우저 납치범이다.이 감염은 기본적으로 다른 타사 애플리케이션과 함께 제공된다.보스테란의 신원은 호주 privacyprotect.org에 의해 보호된다.Vosteran은 Whitenight를 통해 등록된다.[28]

트로비

www.oldapps.com에 "Cheat Engine"이나 다른 버전의 "VLC Player"를 설치하거나 Softonic.com이나 Download.com과 같은 특정 프리웨어 사이트에서 애플리케이션을 다운로드할 때 찾을 수 있다.

트로비는 사용자에게 결과를 제공하기 위해 빙(합법적인 검색엔진)을 사용한다.검색 결과를 표시할 때 주소 표시줄이 Bing.com으로 변경되지만, 어쨌든 Trovi를 통해 검색 키워드가 실행된다.트로비는 이전에는 로고가 있는 검색 결과를 페이지 왼쪽 상단 모서리에 표시하기 위해 자체 웹사이트를 사용했지만, 나중에 사용자를 더 쉽게 속이기 위해 빙으로 바꾸었다.트로비는 어떤 브라우저를 사용하느냐에 따라 검색 결과에서 광고를 빼내는 등 예전처럼 치명적이지는 않지만 여전히 브라우저 납치범으로 꼽힌다.

홈페이지와 새 탭 페이지 설정도 제어해 원래 설정으로 되돌리는 기능을 금지한다.사용 중인 브라우저에 따라 페이지에 광고가 나타날 수 있다.

감염되면 구글과 다른 검색엔진에서 trovi.com으로 브라우저를 리디렉션한다.[29]

Trovi는 도관 도구 모음 생성 서비스를 사용하여 생성되었으며 도관 도구 모음과 유사한 방식으로 감염되는 것으로 알려져 있다.

참조

  1. ^ "Browser Hijacking Fix & Browser Hijacking Removal". Microsoft. Retrieved 23 October 2012.
  2. ^ a b "Malwarebytes Potentially Unwanted Program Criteria". Malwarebytes.
  3. ^ "Rating the best anti-malware solutions". Arstechnica. 2009-12-15. Retrieved 28 January 2014.
  4. ^ "Threat Encyclopedia – Generic Grayware". Trend Micro. Retrieved 27 November 2012.
  5. ^ "PUP Criteria". Malwarebytes.
  6. ^ Mook, Nate (2006-09-06). "EarthLink Criticized for DNS Redirects". betaNews. Retrieved 9 May 2012.
  7. ^ "Mozilla blasts Microsoft for making it harder to switch to Firefox in Windows 10". The Verge. Vox Media. 2015-07-30. Retrieved October 18, 2015.
  8. ^ "PUA.Astromenda". symantec.com.
  9. ^ "How to Remove Astromenda Search From Your Browser". Lavasoft.
  10. ^ "Remove Astromenda, Buzzdock and Extended Update toolbar from your browser". norton.com.
  11. ^ "Dregol Search Removal Removal Guide".
  12. ^ 2012년 7월 25일 휴스턴 크로니클 바빌론 제이 리 처치
  13. ^ 2011년 12월 9일 등록부에 Nmap을 쓰레기들과 번들여서 미안해.
  14. ^ Download.com Installer Archived 2012-07-27에 대한 Sean의 메모 2011년 12월 7일 Wayback Machine Download.com
  15. ^ "Archived copy". montiera.com. Archived from the original on 3 December 2016. Retrieved 13 January 2022.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  16. ^ "How to remove Search Protect by Conduit Ltd". Lavasoft. 2013-06-01. Retrieved 2013-10-12.
  17. ^ "Bundle Your Software with a Custom Toolbar & Start Making Money". Conduit Ltd. 2013. Archived from the original on 2014-03-31. Retrieved 2013-10-12.
  18. ^ "Download me II—Removing the remnants of the Web's most dangerous search terms". Ars Technica. 2013-08-25. Retrieved 2013-10-12.
  19. ^ "Fixing BackgroundContainer.dll Left Over by Conduit Ltd". appuals. Retrieved 20 March 2015.
  20. ^ "Perion Completes Acquisition of Conduit's ClientConnect Creating a Leading Provider of Digital Solutions for Publishers" (Press release). Tel Aviv, Israel; San Francisco. Business Wire. 2014-01-02. Retrieved 2015-06-07.
  21. ^ "Perion Partners with Lenovo to Create Lenovo Browser Guard" (Press release). Tel Aviv, Israel; San Francisco. Business Wire. 2014-06-18. Retrieved 2015-06-07.
  22. ^ "How To Remove Search Protect By Conduit Ltd". Lavasoft. Retrieved 3 December 2014.
  23. ^ "Remove istartsurf". support.kaspersky.com. Kaspersky Lab. Retrieved 24 June 2010.
  24. ^ "Browser Hijacker" (PDF). MySearchCorp. Retrieved 3 July 2012.[영구적 데드링크]
  25. ^ "How To Remove Snap.Do Browser Hijacker". Lavasoft. Retrieved 4 August 2014.
  26. ^ http://www.symantec.com/connect/forums/istartsurfcom-browser-hijacking-startup-page-all-browsers
  27. ^ "Third party offers will be presented with Opt-In projects only - SourceForge Community Blog". SourceForge Community Blog. 2015-06-01. Retrieved 2018-08-16.
  28. ^ "Remove Vosteran". How To Remove. 2014-11-25. Retrieved 25 November 2014.
  29. ^ Trovi Search redirect를 쉽게 제거하는 방법(바이러스 도움말 안내서)malwaretips.com