定义分类/浏览器劫持
浏览器劫持
“浏览器劫持”，通俗点说就是故意误导浏览器的行进路线的一种现象，常见的浏览器劫持现象有：访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等，不少用户都深受其害。
浏览器劫持从软件方面来说，它是一种恶意程序，通过、、等形式对用户的浏览器进改，使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常情况。
浏览器劫持从技术方面来说，它是一种常见的在线攻击类型，黑客可通过这种方式控制的计算机的浏览器，并更改网上冲浪的方式和冲浪时所显示的内容。
浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程，劫持浏览器，都有人采用。
浏览器一旦被劫持，就意味这用户无法决定自己的电脑里将被存放进什么资料，这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱，单凭普通用户被动的事后修正无异于亡羊补牢；更多的需要全世界互联网使用者把好公众舆论和道德走向一关。
判断方法/浏览器劫持
浏览器劫持包括以下异常行为：
?计算机上的或其他设置已被更改，包括增加了一些指向通常会避免的的链接。?无法浏览某些网页，例如反间谍软件和其他安全软件站点。?出现级联弹出窗口。屏幕上出现看似无穷无尽的连环广告弹出窗口。?安装了新的工具栏或收藏夹，并提供指向您不需要的网页的图标和链接。?减慢计算机的运行速度。恶意软件会减慢计算机的运行速度。
“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”，即是说大部分浏览器劫持的发起者，都是通过一种被称为“BHO”(Browser Helper Object，浏览器辅助对象)的技术手段来植入系统。
而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准，它是一种可以让程序员使用简单进入浏览器领域的“交互接口”，由于BHO的交互特性，还可以使用代码去控制浏览器的行为，比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作，这些操作都被系统视为“合法”，这就是“浏览器劫持”现象赖以存在的根源。
预防办法/浏览器劫持
对下载或安装到计算机上的内容要格外小心可以通过一些基本的防范措施帮助确保浏览器正常运行：每当您要将新软件下载到计算机时，会出现一个警告窗口，如下图所示。请对此警告给予高度重视。声誉不佳的在线游戏和媒体服务可能会将间谍软件和其他恶意软件附加到使用其服务所需的“免费”软件。除非确保某个程序或软件完全值得信赖，否则不要下载它或将它安装到您的计算机上。另外，如果看到一个询问您是否允许安装某软件的弹出窗口，请单击“否”，除非能够十分确定要将此新软件安装到计算机上。
下载和安装防御软件安装自动更新。如果使用的是Windows2000或WindowsXP，则可以在计算机上自动安装安全更新。如果希望手动
安全级别设定执行此操作，请访问MicrosoftUpdate并安装Windows（包括WindowsSP2）的任何ServicePack和更新。
确保使用最新版本的Internet浏览器。如果使用InternetExplorer，请确保使用的是该软件的最新版本，并下载和安装任何附加的安全更新。
使用最新的防病毒和反间谍软件。将它们设置为自动运行。许多浏览器劫持尝试都附带了病毒或间谍软件。
准备一个防劫持工具包在身边。防劫持工具包应该包括诸如Microsoft Windows Anti Spyware(Beta)（仅英文版）和Spybot之类的程序，它能够帮助浏览器在被劫持时恢复对浏览器和计算机的控制。另外，一些著名的防病毒程序可以检测和帮助删除某些称为特洛伊木马病毒的劫持程序。
1.在“工具”菜单上，单击“Internet选项”，然后单击“安全”。2.单击“Internet”图标，单击“自定义级别”按钮，然后在“重置为”框中，选择“中”。3.单击“重置”按钮。4.单击“确定”。
还原方法/浏览器劫持
以下6个提示可帮助还原浏览器的设置：
1-停止级联弹出窗口如果的屏幕上出现了看似无穷无尽的弹出窗口，则可能需要首先停止泛滥势头。为此，在MicrosoftWindowsXP或Windows2000中使用InternetExplorer时：
1.按Ctrl+Alt+Del，单击“任务管理器”，然后单击“进程”选项卡。2.单击IEXPLORE.EXE，然后单击“结束进程”按钮。
这样做将关闭InternetExplorer的所有实例。然后，可以重新打开该程序，继续照常浏览。要帮助预防潜在攻击，还应该启用弹出窗口阻止程序。在InternetExplorer中启用弹出窗口阻止程序：
1.在“工具”菜单上，单击“Internet选项”，然后单击“隐私”选项卡。2.在“弹出窗口阻止程序”框中，选择“阻止弹出窗口”复选框。单击“确定”。
如果仍然遇到被劫持的Web浏览器带来的其他影响，请尝试以下步骤：
2-安装防御性软件。如上述“防止浏览器劫持”部分中提到的各种软件。您可以通过下载、安装并运行这些程序来识别和删除许多。
3-运行恶意软件删除工具。此工具可捕获某些（但并非所有）类型的劫持软件。
4-手动还原您的设置。如果您正在使用InternetExplorer且主页已被更改，则通常可以自己将其重置。
1.在“工具”菜单上，单击“Internet选项”，然后单击“常规”选项卡。2.在“主页”框中，将所需网址键入到“地址”栏中，或单击“使用默认页”按钮恢复原来的出厂设置。3.单击“确定”。
5-通过“添加/删除”功能删除有害程序如果您准备尝试某些高级删除方法，Microsoft帮助和支持文章欺骗性软件可能会使计算机出现莫名其妙的问题提供了您可以执行的附加步骤，包括如何使用“添加/删除”功能、内置程序删除工具以及Windows Explorer中的程序查找工具。
6-完成这些步骤后。请清空回收站，特别是在删除了有害的程序时。然后重新启动系统。
万方数据期刊论文
万方数据期刊论文
武汉大学学报（理学版）
万方数据期刊论文
中国科技财富
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于www.baike.com。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：12次
参与编辑人数：9位
最近更新时间： 20:55:53
贡献光荣榜
扫码下载APP只需一步，快速开始
后使用快捷导航
“黑白通吃”的浏览器劫持木马，毒霸首家查杀
该用户从未签到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
本帖最后由 ︷搁ɑ.浅▽ 于
09:29 编辑
一、行为概述
& & 该病毒运行后会释放并加载多个驱动，驱动加载后会隐藏自身文件，劫持网络并注入dll模块到指定的浏览器和杀软进程，进行浏览器劫持和杀软对抗。这个样本比较有意思的另外一个点在于”黑吃黑”，除了对抗安全软件外，会还对另外一类流行的浏览器劫持木马进行删除。
二、病毒母体行为
1.png (84.01 KB, 下载次数: 23)
14:57 上传
1、该样本兼容悬x86和x64为系统，母体根据当前系统版本释放和安装不同的驱动。
2、打开\\.\cmdhlp过滤驱动设备，传入以下参数给过滤驱动进行劫持：&&要匹配的url子串&&要劫持到的目标urlclick.union.jd.comhttp://www.sd***.com/jd.htmlwww.jd.comhttp://www. sd***.com/jd.html/jdc?d=Y7vQZvhttp://www. sd***.com/jd.html/jdc?d=ZFj2uihttp://www. sd***.com/jd.htmlwww.vip.comhttp://www. sd***.com/vip.html/gumMra63http://www. sd***.com/vip.htmlwww.gome.com.cnhttp://www. sd***.com/gome.html/?cmpid=dh_2345_mzhttp://www. sd***.com/gome.htmlwww.suning.comhttp://www. sd***.com/suning.html/home.htm?utm_source=2345&utm_medium=djhhttp://www. sd***.com/suning.html/?utm_medium=mingzhan&utm_source=2345&utm_campaign=texthttp://www. sd***.com/suning.htmlwww.meilishuo.comhttp://www. sd***.com/meilishuo.htmlwww.mogujie.comhttp://www. sd***.com/mogujie.html
3、上报:http://api.***.top?softname=yuanjie2345&mac=XX-XX-XX-XX-XX-XX&active=0
4、删除自身文件
三、驱动行为分析
1、hwpolicy2.sys驱动加载后创建Shutdown、CreateProcess、LoadImage系统回调，并hook驱动NTFS.sys的派发函数IRP_MJ_CREATE。通过以上回调和钩子函数来完成dll注入和拦截对抗。
IRP_MJ_CREATE钩子函数：拦截浏览器保护模块和其他病毒模块的加载如果访问的文件路径包含以下字符串，则返回STATUS_ACCESS_DENIED拒绝访问文件。QMIESafeDll.dll、QMIESafeDll64.dll(腾讯电脑管家主页保护模块)、sesafe.dll(360)、mslmedia、Mslmedia.sys(另一个主页劫持的病毒)
Shutdown回调：对抗主页劫持病毒Mslmedia.sys删除如下注册表项：\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances\\MslmediaInstance\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Enum\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Security\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia
CreateProcess回调：和LoadImage回调配合注入dll到指定进程
如果是创建进程并匹配如下进程名，则保存该进程的PID，在LoadImage回调中注入DLL到该进程。
2.png (33.79 KB, 下载次数: 34)
14:57 上传
LoadImage回调：如果当前进程PID是CreateProcess回调得到的PID，则通过APC过程来调用LdrLoadDll函数注入dll到当前进程，该dll会劫持浏览器进程和结束杀软相关进程。
2、usbehci2.sys该驱动会创建Tcpip过滤驱动（\\.\cmdhlp）进行网络劫持。应用层由母体或被注入的DLL模块传入配置参数，通过HTTP 302重定向劫持到指定URL。
3.png (18.28 KB, 下载次数: 26)
15:29 上传
3、WmiAcpi2.sys该驱动加载后会hook系统SSDT表中的NtQuerySystemInformation、NtReadFile和NtQueryInformationProcess函数，以及FSD的派发函数IRP_MJ_DIRECTORY_CONTROL来隐藏自身文件。
FSD HOOK函数Hook设备 和 的IRP_MJ_DIRECTORY_CONTROL派发函数，如果当前有360杀软进程和explorer进程去访问病毒目录（fatherv2）且病毒目录存在则状态返回STATUS_NO_MORE_FILES，以隐藏自身文件。
3.5.png (8.68 KB, 下载次数: 27)
15:20 上传
SSDTHOOK函数如果当前调用模块是360SelfProtection.sys、qutmdrv.sys、360AvFlt.sys、360Box.sys、BAPIDRV.sys，并且返回结果中包含病毒目录（\\fatherv2）则返回失败，隐藏自身文件，防止查杀。
4.5.png (11.75 KB, 下载次数: 24)
15:01 上传
四、注入DLL模块分析
主要功能是劫持浏览器、结束杀软进程、更新配置文件和活跃统计上报。
5.png (121.8 KB, 下载次数: 31)
14:57 上传
1、&&如果当前进程为explorer.exe，则执行以下行为：
a) 将注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts加1并回写，该值记录启动次数。
b) 读取配置文件CSIDL_COMMON_APPDATA\fatherv2\config.ini，初始化Tcpip过滤驱动usbehci2.sys，该驱动根据配置对http封包进行过滤和劫持。目前下载到的配置文件没有太多信息，字段mp为加密的主页url，解密后为***.com/2345dh.html
6.png (6.71 KB, 下载次数: 21)
14:57 上传
2、&&拦截安全软件的浏览器保护模块
如果当前系统版本不是win8.1：a) 进程名为iexplore.exe或explorer.exe，则hook LdrLoadDll函数，加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED，拒绝加载安全软件的浏览器保护模块。
7.png (12.96 KB, 下载次数: 21)
14:57 上传
b) 进程名为360Safe.exe或360Tray.exe，则hook LdrLoadDll函数，加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED，拦截360安全卫士的扫描和云查询模块。
7.5.png (8.84 KB, 下载次数: 25)
15:03 上传
3、&&浏览器劫持
a) 如果匹配以下进程名，则添加命令行参数“***.com/2345dh.html”启动进程，进行启动页劫持。
9.png (24.49 KB, 下载次数: 24)
14:57 上传
b) 如果当前进程为QQBrowser.exe，则创建线程，依次查找窗口QQBrowserMainFrameàQQBrowserRebaràQQBrowserAddressBaràQQBrowserCoreRichEdit，发送消息打开，劫持启动页。
10.png (16.7 KB, 下载次数: 26)
14:57 上传
4、&&结束杀软进程
a) 如果匹配以下进程名，则调用ExitProcess直接退出进程。
11.png (4.65 KB, 下载次数: 25)
14:57 上传
b) 如果匹配以下进程名，则创建线程，先调用Sleep函数睡眠10000毫秒，再调用ExitProcess退出进程。
12.png (22.68 KB, 下载次数: 29)
14:57 上传
13.png (3.37 KB, 下载次数: 27)
14:57 上传
5、&&访问http://api.***.top/cg/config_01.ini，更新配置文件。
6、&&访问api.***.top/?softname=yuanjie2345&mac=xx-xx-xx-xx-xx-xx&active=[ts]上报活跃统计，其中[ts]为注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts。
& & 该病毒是典型的浏览器劫持病毒，并运用了大量手段对抗杀软查杀和自保护。建议安装，可实时拦截病毒运行，并支持查杀，保障上网安全。对于已中毒用户，可使用专杀工具完美解决。
其他几家发新闻说国内首杀都会附个virustotal的截图以示“证明”，毒霸咋不附个？这样所谓首杀是不是底气不足呢
金山毒霸首杀！！！！！！！！
很不错的喔~& && &&&
分析报告很专业，支持金山毒霸
必须支持！！！！！！！！！！！！！！！！！！
支持金山毒霸
好，支持一个
这个样本比较有意思的另外一个点在于”黑吃黑”，除了对抗安全软件外，会还对另外一类流行的浏览器劫持木马进行删除。
特来看看。
该病毒运行后会释放并加载多个驱动，驱动加载后会隐藏自身文件，劫持网络并注入dll模块到指定的浏览器和杀软进程，进行浏览器劫持和杀软对抗。
支持金山毒霸加油
该病毒是典型的浏览器劫持病毒，并运用了大量手段对抗杀软查杀和自保护。
该病毒是典型的浏览器劫持病毒，并运用了大量手段对抗杀软查杀和自保护。
是吗? 金山独霸连伴读浏览器都杀不了
逛了这许久，何不进去瞧瞧？
关注我们：以上由提供
您的位置：
> 浏览器自动跳转到某个网页怎么办？浏览器被劫持的解决方法
浏览器自动跳转到某个网页怎么办？浏览器被劫持的解决方法
　　打开浏览器却发现浏览器总是跳到指定页面，这很可能是浏览器被劫持造成的，劫持浏览器的方法有很多种，下面就教大家怎么解决。
　　情况一、
　　首先，右键浏览器的快捷方式，打开其属性，在&快捷方式&标签下的&目标&栏中查看末尾是否带有网址，如果有如图所示的网址，那点击这个快捷方式时就会自动跳转的该网址。
　　解决方法：将网址连带引号都删除，然后点击确定就可以了。
　　情况二、
　　在C:\Windows\System32\drivers\etc\文件夹下找到hosts文件。这个文件可将网址和网址IP地址关联起来，也是劫持的常用手段之一。
　　使用文本方式打开hosts文件，如下图所示，在浏览器地址栏中输入后面的网站地址就会跳转到前面的IP地址中：
　　解决方法：将关联的网站和地址删除，或者将文件中的全部信息都删除，然后保存退出即可。如果提示权限不足，请用管理员权限打开hosts文件。
　　情况三、
　　还有一种可能是DNS劫持，只要勾选自动获取DNS服务器地址或者使用8.8.8.8或114.114.114.114作为DNS地址即可。
　　打开&控制面板&-&&网络和Internet&-&&网络连接&。
　　选择用户联网的网络，右键选择属性。
　　找到&Internet协议4(TCP/IPv4)&双击进入。
　　勾选自动获取DNS服务器地址或配置DNS服务器为8.8.8.8和114.114.114.114。
　　以上就是浏览器被劫持的几种情况及解决方法，如果你还有其他电脑问题，欢迎访问www.xitongcheng.cc
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）
Copyright (C)2014 www.xitongcheng.cc All rights reserved
本站发布的系统与软件仅为个人学习测试使用，请在下载后24小时内删除，不得用于任何商业用途，否则后果自负，请支持购买微软正版软件！
黔ICP备号-1