PCDVD數位科技討論區

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)
-   -   hao123首頁綁架處理實錄 (https://www.pcdvd.com.tw/showthread.php?t=970814)

Crazynut 2012-05-31 12:23 PM

hao123首頁綁架處理實錄
 
話說今年,我終於將系統從98更新到2k,使用上雖然便利了不少,但也帶來一些,很久不曾踫到的木馬或病毒問題。

我的主力瀏覽器是Opera與Greenbrowser,IE很古老的6.0。以前總覺得IE古老沒啥關係--反正我不用它。但今天應家人要求,要將統一發票對獎的網頁放在桌面上時,赫然發現IE的首頁被hao123綁架了……

試著改看看,重開,一樣。

用gpedit.msc,先改回yahoo首頁,趕緊關閉首頁修改。再開一次,無效。

忘了群組設定原則吧,直接從regedit著手,先查網路上的解決方法。一般都著眼於:

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

以及
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main

裡面的Start Page數值修改

我的情況呢,第一個數值果然是hao123,不過第二個數值似乎是MS的原始設定沒變。很高興地修改第一個數值…重開IE,嗯,果然好了。

但過幾分後再開…咦怎麼又回到hao123了?

經過一個多小時反覆地try,發現一件奇事,regedit打開沒關的狀態下,每隔一段時間(沒仔細數可能是1分鐘),CURRENT_USER下的第一個數值都會自動變回hao123(要按"-"號收攏,"+"號再打開才看得出來)。

好吧,看樣子有個常駐的玩意兒,在定期覆寫登錄,找看看:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

找到一個Internat,查了網路上的說明,這個似乎是跟輸入切換有關的,檢查大小也才二十幾k,沒到兩百多k(有人說太大就有問題),可能是沒問題的吧。

再查:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

裡頭有個Synchronization Manager,數值是mobsync.exe /logon。找網路上的說明是同步的啥玩意兒……狐疑?我沒啥需要同步的啊?,看來很可疑哦。

於是祭出msconfig(我知道2k沒有,不過為求方便,剛灌好就從xp複製過來用了),從啟動那邊關掉,重開機,再改一次Start Page,好了,不會再被覆寫了,證明兇手在此。
******
結語:現在的首頁綁架手法真高明,連怎麼中的都莫名其妙--我安裝的程式裡面,完全沒有簡字的對岸程式啊(有的案例說移除那一類程式就痊癒了)。雖然似乎沒啥危害,但看著總覺礙眼,僅將此此事件紀錄下來,提供給同樣困擾的朋友參考。

museshuner 2012-05-31 01:28 PM

2000應該沒更新了吧

安全性上還是xp比較好吧

vegemite 2012-05-31 01:33 PM

這篇文章讓我一而再的確認發文日期~~ :confused: :confused:

che 2012-05-31 01:40 PM

對於一個很落後的作業系統
真是一個很好的經驗分享

alan0888 2012-05-31 01:44 PM

應該使用 HijackThis 軟體就能解了,比較方便簡單。

野口隆史 2012-05-31 01:47 PM

IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定,因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護

ivantw 2012-05-31 09:34 PM

我也想說改用Chrome會好很多...
沒想到還有人在用IE6啊,我的IE9也幾乎是沒開過了都用Chrome居多。

BTW使用Chrome上網中毒/木馬的風險高不高啊?
有時看到Google搜尋出來的結果,網址下面寫著「這個網站可能會侵害你的電腦」
還是沒有勇氣確認Chrome會不會中毒! :laugh: :laugh: :laugh:


引用:
作者野口隆史
IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定,因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護

黑禾 2012-05-31 11:21 PM

引用:
作者野口隆史
IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定,因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護


嗯~~
我實在很想請你對台北市醫聯合的資訊人員說明這危害
可是許多RIS、HIS系統還只能用XP SP3綁 IE6
一旦掛上IE8就整個次系統崩潰,只能重灌
想想去年單位新進來的DELL I5 W7機只能降級XP SP6 IE6
其實單位裡的IE6都被我偷偷的升級到IE7
瀏覽網頁才好一些

野口隆史 2012-06-01 12:24 AM

引用:
作者ivantw
我也想說改用Chrome會好很多...
沒想到還有人在用IE6啊,我的IE9也幾乎是沒開過了都用Chrome居多。

BTW使用Chrome上網中毒/木馬的風險高不高啊?
有時看到Google搜尋出來的結果,網址下面寫著「這個網站可能會侵害你的電腦」
還是沒有勇氣確認Chrome會不會中毒! :laugh: :laugh: :laugh:

目前瀏覽器安全性上做最好的是Chrome再來是IE9
兩者都有用不同層面的Sandbox保護
Firefox我上個月才中了jre的漏洞攻擊,被裝了fake AV...

基本上Chrome很難被穿,去逛毒網一般來說也沒有關係
要穿過Chrome,必須至少要有兩個可以利用的漏洞
一個是本身排版引擎的漏洞,允許你用任意腳本提權
或是外掛漏洞,例如adboe reader或flash player
最後是sandbox漏洞,沒有這個漏洞,有前面兩個漏洞也沒有用

話雖然如此,但一般我還是建議不要以身試火
凡事皆有例外....



引用:
作者黑禾
嗯~~
我實在很想請你對台北市醫聯合的資訊人員說明這危害
可是許多RIS、HIS系統還只能用XP SP3綁 IE6
一旦掛上IE8就整個次系統崩潰,只能重灌
想想去年單位新進來的DELL I5 W7機只能降級XP SP6 IE6
其實單位裡的IE6都被我偷偷的升級到IE7
瀏覽網頁才好一些

綁系統的solution,誰去講應該都沒什麼用
系統也不可能推翻,所以我比較推薦用閘道防毒
直接在gateway就擋掉有危險的東西
比起直接在電腦上妝防毒軟體
管制更方便,不用擔心誤報亂亂殺系統檔案
也不會因為水土不服造成系統性能低落,或出現奇怪相容性問題


黑禾 2012-06-01 12:29 AM

野口大
謝謝你的專業分享 :like: :like:

想請問一下
OPERA 11.64 以目前的網路環境
在眾多瀏覽器裡其安全性排行在哪?!


所有的時間均為GMT +8。 現在的時間是02:02 AM.

vBulletin Version 3.0.1
powered_by_vbulletin 2024。