PCDVD數位科技討論區 - hao123首頁綁架處理實錄

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)

- - hao123首頁綁架處理實錄 (https://www.pcdvd.com.tw/showthread.php?t=970814)

hao123首頁綁架處理實錄

話說今年，我終於將系統從98更新到2k，使用上雖然便利了不少，但也帶來一些，很久不曾踫到的木馬或病毒問題。

我的主力瀏覽器是Opera與Greenbrowser，IE很古老的6.0。以前總覺得IE古老沒啥關係－－反正我不用它。但今天應家人要求，要將統一發票對獎的網頁放在桌面上時，赫然發現IE的首頁被hao123綁架了……

試著改看看，重開，一樣。

用gpedit.msc，先改回yahoo首頁，趕緊關閉首頁修改。再開一次，無效。

忘了群組設定原則吧，直接從regedit著手，先查網路上的解決方法。一般都著眼於：

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

以及
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main

裡面的Start Page數值修改

我的情況呢，第一個數值果然是hao123，不過第二個數值似乎是MS的原始設定沒變。很高興地修改第一個數值…重開IE，嗯，果然好了。

但過幾分後再開…咦怎麼又回到hao123了？

經過一個多小時反覆地try，發現一件奇事，regedit打開沒關的狀態下，每隔一段時間(沒仔細數可能是1分鐘)，CURRENT_USER下的第一個數值都會自動變回hao123(要按"-"號收攏，"+"號再打開才看得出來)。

好吧，看樣子有個常駐的玩意兒，在定期覆寫登錄，找看看：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

找到一個Internat，查了網路上的說明，這個似乎是跟輸入切換有關的，檢查大小也才二十幾k，沒到兩百多k(有人說太大就有問題)，可能是沒問題的吧。

再查：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

裡頭有個Synchronization Manager，數值是mobsync.exe /logon。找網路上的說明是同步的啥玩意兒……狐疑？我沒啥需要同步的啊？，看來很可疑哦。

於是祭出msconfig(我知道2k沒有，不過為求方便，剛灌好就從xp複製過來用了)，從啟動那邊關掉，重開機，再改一次Start Page，好了，不會再被覆寫了，證明兇手在此。
******
結語：現在的首頁綁架手法真高明，連怎麼中的都莫名其妙－－我安裝的程式裡面，完全沒有簡字的對岸程式啊(有的案例說移除那一類程式就痊癒了)。雖然似乎沒啥危害，但看著總覺礙眼，僅將此此事件紀錄下來，提供給同樣困擾的朋友參考。

2000應該沒更新了吧

安全性上還是xp比較好吧

這篇文章讓我一而再的確認發文日期~~ :confused: :confused:

對於一個很落後的作業系統
真是一個很好的經驗分享

應該使用 HijackThis 軟體就能解了，比較方便簡單。

IE6允許未經授權的系統變更
IE也允許經過授權的系統變更
所以一般我不推薦使用舊版的IE

你這個很像是經由javascript的方式是感染
我沒有把握確定，因為IE6對這方面很沒輒
我是建議瀏覽器可以改Chrome
不論Chrome本身或是外過甚至擴充套件
都可以在Sandbox內受保護

我也想說改用Chrome會好很多...
沒想到還有人在用IE6啊，我的IE9也幾乎是沒開過了都用Chrome居多。

BTW使用Chrome上網中毒/木馬的風險高不高啊？
有時看到Google搜尋出來的結果，網址下面寫著「這個網站可能會侵害你的電腦」
還是沒有勇氣確認Chrome會不會中毒！ :laugh: :laugh: :laugh:

引用:

作者野口隆史

引用:

作者野口隆史

嗯~~
我實在很想請你對台北市醫聯合的資訊人員說明這危害
可是許多RIS、HIS系統還只能用XP SP3綁 IE6
一旦掛上IE8就整個次系統崩潰，只能重灌
想想去年單位新進來的DELL I5 W7機只能降級XP SP6 IE6
其實單位裡的IE6都被我偷偷的升級到IE7
瀏覽網頁才好一些

引用:

作者ivantw

目前瀏覽器安全性上做最好的是Chrome再來是IE9
兩者都有用不同層面的Sandbox保護
Firefox我上個月才中了jre的漏洞攻擊，被裝了fake AV...

基本上Chrome很難被穿，去逛毒網一般來說也沒有關係
要穿過Chrome，必須至少要有兩個可以利用的漏洞
一個是本身排版引擎的漏洞，允許你用任意腳本提權
或是外掛漏洞，例如adboe reader或flash player
最後是sandbox漏洞，沒有這個漏洞，有前面兩個漏洞也沒有用

話雖然如此，但一般我還是建議不要以身試火
凡事皆有例外....

引用:

作者黑禾

綁系統的solution，誰去講應該都沒什麼用
系統也不可能推翻，所以我比較推薦用閘道防毒
直接在gateway就擋掉有危險的東西
比起直接在電腦上妝防毒軟體
管制更方便，不用擔心誤報亂亂殺系統檔案
也不會因為水土不服造成系統性能低落，或出現奇怪相容性問題

野口大
謝謝你的專業分享 :like: :like:

想請問一下
OPERA 11.64 以目前的網路環境
在眾多瀏覽器裡其安全性排行在哪?!