PCDVD數位科技討論區
PCDVD數位科技討論區   註冊 常見問題 標記討論區為已讀

回到   PCDVD數位科技討論區 > 其他群組 > 七嘴八舌異言堂
帳戶
密碼

  回應
 
主題工具
Crazynut
Master Member
 

加入日期: Apr 2001
您的住址: 高雄
文章: 2,227
hao123首頁綁架處理實錄

話說今年,我終於將系統從98更新到2k,使用上雖然便利了不少,但也帶來一些,很久不曾踫到的木馬或病毒問題。

我的主力瀏覽器是Opera與Greenbrowser,IE很古老的6.0。以前總覺得IE古老沒啥關係--反正我不用它。但今天應家人要求,要將統一發票對獎的網頁放在桌面上時,赫然發現IE的首頁被hao123綁架了……

試著改看看,重開,一樣。

用gpedit.msc,先改回yahoo首頁,趕緊關閉首頁修改。再開一次,無效。

忘了群組設定原則吧,直接從regedit著手,先查網路上的解決方法。一般都著眼於:

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

以及
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main

裡面的Start Page數值修改

我的情況呢,第一個數值果然是hao123,不過第二個數值似乎是MS的原始設定沒變。很高興地修改第一個數值…重開IE,嗯,果然好了。

但過幾分後再開…咦怎麼又回到hao123了?

經過一個多小時反覆地try,發現一件奇事,regedit打開沒關的狀態下,每隔一段時間(沒仔細數可能是1分鐘),CURRENT_USER下的第一個數值都會自動變回hao123(要按"-"號收攏,"+"號再打開才看得出來)。

好吧,看樣子有個常駐的玩意兒,在定期覆寫登錄,找看看:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

找到一個Internat,查了網路上的說明,這個似乎是跟輸入切換有關的,檢查大小也才二十幾k,沒到兩百多k(有人說太大就有問題),可能是沒問題的吧。

再查:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

裡頭有個Synchronization Manager,數值是mobsync.exe /logon。找網路上的說明是同步的啥玩意兒……狐疑?我沒啥需要同步的啊?,看來很可疑哦。

於是祭出msconfig(我知道2k沒有,不過為求方便,剛灌好就從xp複製過來用了),從啟動那邊關掉,重開機,再改一次Start Page,好了,不會再被覆寫了,證明兇手在此。
******
結語:現在的首頁綁架手法真高明,連怎麼中的都莫名其妙--我安裝的程式裡面,完全沒有簡字的對岸程式啊(有的案例說移除那一類程式就痊癒了)。雖然似乎沒啥危害,但看著總覺礙眼,僅將此此事件紀錄下來,提供給同樣困擾的朋友參考。
__________________
簽名檔真是礙眼…還是讓版面乾淨點吧!
舊 2012-05-31, 12:23 PM #1
回應時引用此文章
Crazynut離線中  
museshuner
*停權中*
 

加入日期: Sep 2004
您的住址: 懸崖邊
文章: 1,464
2000應該沒更新了吧

安全性上還是xp比較好吧
舊 2012-05-31, 01:28 PM #2
回應時引用此文章
museshuner離線中  
vegemite
*停權中*
 
vegemite的大頭照
 

加入日期: Sep 2011
文章: 3
這篇文章讓我一而再的確認發文日期~~
舊 2012-05-31, 01:33 PM #3
回應時引用此文章
vegemite離線中  
che
Amateur Member
 

加入日期: Mar 2009
文章: 41
對於一個很落後的作業系統
真是一個很好的經驗分享
舊 2012-05-31, 01:40 PM #4
回應時引用此文章
che離線中  
alan0888
Advance Member
 
alan0888的大頭照
 

加入日期: Feb 2003
您的住址: 台北縣
文章: 381
應該使用 HijackThis 軟體就能解了,比較方便簡單。
舊 2012-05-31, 01:44 PM #5
回應時引用此文章
alan0888離線中  
野口隆史
Elite Member
 
野口隆史的大頭照
 

加入日期: Mar 2001
您的住址: Baker Street 221B
文章: 6,108
IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定,因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護
__________________
Folding@home with GPGPU集中討論串

Unix Review: ArchLinuxSabayonOpenSolaris 2008.5Ubuntu 8.10
AVs Review: GDTCAntiVir SSESSKIS 09NIS 09Norton 360 V3

I Always Get What I Want.
舊 2012-05-31, 01:47 PM #6
回應時引用此文章
野口隆史離線中  
ivantw
Junior Member
 
ivantw的大頭照
 

加入日期: May 2005
您的住址: Autobahn, Deutschland
文章: 708
我也想說改用Chrome會好很多...
沒想到還有人在用IE6啊,我的IE9也幾乎是沒開過了都用Chrome居多。

BTW使用Chrome上網中毒/木馬的風險高不高啊?
有時看到Google搜尋出來的結果,網址下面寫著「這個網站可能會侵害你的電腦」
還是沒有勇氣確認Chrome會不會中毒!


引用:
作者野口隆史
IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定,因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護
舊 2012-05-31, 09:34 PM #7
回應時引用此文章
ivantw離線中  
黑禾
Major Member
 
黑禾的大頭照
 

加入日期: Feb 2003
您的住址: 追尋北國之春、尋覓國境之南
文章: 294
引用:
作者野口隆史
IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定,因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護


嗯~~
我實在很想請你對台北市醫聯合的資訊人員說明這危害
可是許多RIS、HIS系統還只能用XP SP3綁 IE6
一旦掛上IE8就整個次系統崩潰,只能重灌
想想去年單位新進來的DELL I5 W7機只能降級XP SP6 IE6
其實單位裡的IE6都被我偷偷的升級到IE7
瀏覽網頁才好一些
__________________
國小的門面又改了
漂亮的兩層紅磚建築早已灰飛湮滅
大門對面的滷肉飯攤販
如今已轉型成鬍鬚張連鎖店總店

國中的舊址面目全非
改成醜陋的柏油停車場,只剩老樹在嗚咽
2005.06
醜陋的柏油停車場正拆除,老樹已無法嗚咽
2006.09
廣 告已經出現,台北新地標--京站
2011.07.04
我在君品17樓吃小外甥女的雙滿月酒
國中新校址在舊市府後方

舊市府改成當代藝術館
我還是懷念20元的市府員工午餐
怎麼全變
我的青春
我的記憶
台北還是我的 【 家 】 嗎????
舊 2012-05-31, 11:21 PM #8
回應時引用此文章
黑禾現在在線上  
野口隆史
Elite Member
 
野口隆史的大頭照
 

加入日期: Mar 2001
您的住址: Baker Street 221B
文章: 6,108
引用:
作者ivantw
我也想說改用Chrome會好很多...
沒想到還有人在用IE6啊,我的IE9也幾乎是沒開過了都用Chrome居多。

BTW使用Chrome上網中毒/木馬的風險高不高啊?
有時看到Google搜尋出來的結果,網址下面寫著「這個網站可能會侵害你的電腦」
還是沒有勇氣確認Chrome會不會中毒!

目前瀏覽器安全性上做最好的是Chrome再來是IE9
兩者都有用不同層面的Sandbox保護
Firefox我上個月才中了jre的漏洞攻擊,被裝了fake AV...

基本上Chrome很難被穿,去逛毒網一般來說也沒有關係
要穿過Chrome,必須至少要有兩個可以利用的漏洞
一個是本身排版引擎的漏洞,允許你用任意腳本提權
或是外掛漏洞,例如adboe reader或flash player
最後是sandbox漏洞,沒有這個漏洞,有前面兩個漏洞也沒有用

話雖然如此,但一般我還是建議不要以身試火
凡事皆有例外....



引用:
作者黑禾
嗯~~
我實在很想請你對台北市醫聯合的資訊人員說明這危害
可是許多RIS、HIS系統還只能用XP SP3綁 IE6
一旦掛上IE8就整個次系統崩潰,只能重灌
想想去年單位新進來的DELL I5 W7機只能降級XP SP6 IE6
其實單位裡的IE6都被我偷偷的升級到IE7
瀏覽網頁才好一些

綁系統的solution,誰去講應該都沒什麼用
系統也不可能推翻,所以我比較推薦用閘道防毒
直接在gateway就擋掉有危險的東西
比起直接在電腦上妝防毒軟體
管制更方便,不用擔心誤報亂亂殺系統檔案
也不會因為水土不服造成系統性能低落,或出現奇怪相容性問題

__________________
Folding@home with GPGPU集中討論串

Unix Review: ArchLinuxSabayonOpenSolaris 2008.5Ubuntu 8.10
AVs Review: GDTCAntiVir SSESSKIS 09NIS 09Norton 360 V3

I Always Get What I Want.

此文章於 2012-06-01 12:27 AM 被 野口隆史 編輯.
舊 2012-06-01, 12:24 AM #9
回應時引用此文章
野口隆史離線中  
黑禾
Major Member
 
黑禾的大頭照
 

加入日期: Feb 2003
您的住址: 追尋北國之春、尋覓國境之南
文章: 294
野口大
謝謝你的專業分享

想請問一下
OPERA 11.64 以目前的網路環境
在眾多瀏覽器裡其安全性排行在哪?!
__________________
國小的門面又改了
漂亮的兩層紅磚建築早已灰飛湮滅
大門對面的滷肉飯攤販
如今已轉型成鬍鬚張連鎖店總店

國中的舊址面目全非
改成醜陋的柏油停車場,只剩老樹在嗚咽
2005.06
醜陋的柏油停車場正拆除,老樹已無法嗚咽
2006.09
廣 告已經出現,台北新地標--京站
2011.07.04
我在君品17樓吃小外甥女的雙滿月酒
國中新校址在舊市府後方

舊市府改成當代藝術館
我還是懷念20元的市府員工午餐
怎麼全變
我的青春
我的記憶
台北還是我的 【 家 】 嗎????
舊 2012-06-01, 12:29 AM #10
回應時引用此文章
黑禾現在在線上  
 
    回應


主題工具

發表文章規則
不可以發起新主題
不可以回應主題
不可以上傳附加檔案
不可以編輯您的文章

vB 代碼打開
[IMG]代碼打開
HTML代碼關閉



所有的時間均為GMT +8。 現在的時間是08:43 AM.


vBulletin Version 3.0.1
powered_by_vbulletin 2014。