谁绑架了你的IE浏览器？

hjk133 · 发表于 2009-6-3 01:35:33

见怪不怪：主页被强行修改
网友A：什么东西把主页改成930930.com了；
网友B：双击IE就上了一个导航页，修改为自定义的主页后，重启IE发现修改完全无效；
网友C：主页被改后，我在注册表里搜索这个地址，删除之后重启电脑，结果打开IE还是那个恶意网址导航。

编者：你们并不孤单，金山系统急救箱的反馈系统里收集了超过2.3万次IE主页被修改的案例，下表是排名前10的恶意网址列表。

排名	恶意网址	清除次数	幕后推手
1	930930.com	6811	优化大师部分版本
2	9348.cn	1816	木马下载器或软件捆绑
3	wz58.com	1725	未知
4	61.128.239.34	934	未知
5	6700.cn/3929.cn	831	未知
6	114la.com	766	雨林木风盗版系统
7	tomatolei.com	763	番茄花园盗版系统
8	97sp.cn	606	未知
9	304304.com/930930.com	553	成都远山科技有限公司
10	51.net	502	北京金络神电子商务有限责任公司

--------------------------------这里是分隔线-------------------------------------

为什么IE主页会被强行修改？
IE主页是浏览互联网的窗口，并不是所有用户都会自己设定主页，hao123的成功证明导航类网站存在巨大商机，在这个导航页里，每个链接和搜索窗口都可以成为商品，只要这个主页实现足够高的访问量。这些访问量，会给主页的作者带来收益。只是hao123已不可复制，越来越多的人企图通过恶意软件让自己成为hao123。

绝大多数盗版系统会修改IE主页为自己的导航网站，比如深度、雨林木风，雨林木风版默认主页为www.114la.com，日独立访问量高达500万-600万；深度版本版默认主页则为www.1616.net，日独立访问的用户数量也达数百万之多。

另外，还有很多共享软件，因为在中国发行共享软件几乎是无利可图的，注册费的收入相当有限，软件开发者只能从第三方获利。而这种作法又会被称为流氓，采用这种办法获得的共享软件，也会自然而然的被戴上流氓软件的帽子。

--------------------------------这里是分隔线-------------------------------------
绑架IE都用的什么招
1 常规方法——IE浏览器提供给大家DIY主页的方法
打开IE经常要访问的网站，可以直接在IE的选项中添加主页。
（1）手工设置的方法
方法一：右键桌面 Internet Explorer图标－－属性－－主页
方法二：打开IE浏览器－－工具－－Internet选项－－主页

（2）恶意程序修改主页的方法
恶意程序一般是通过修改注册表中关于IE主页设置项目来将主页修改为自己的网站
对应的注册表项目（可以通过注册表编辑器修改：开始－－运行－－输入regedit.exe 回车依次打开）
主键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
键名：
"Start Page" REG_SZ

--------------------------------这里是分隔线-------------------------------------
2.IE浏览器快捷方式被恶意修改
（1）桌面和快速启动栏IE浏览器快捷方式修改
步骤一：隐藏桌面默认存在的IE快捷方式，或者直接删除
恶意软件通常通过修改注册表的方法来隐藏或者删除IE快捷方式
主键：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
子键NewStartPanel
键值：{871C5380-42A0-1069-A2EA-08002B30309D} 设置为 1 或者直接删除
步骤二：新建一个IE快捷方式，再修改目标属性，在正常的IE快捷方式后面添加恶意网站

--------------------------------这里是分隔线-------------------------------------
3 深度挖掘的技巧－－－IE关联项目被修改
常规修改很容易被一些软件修复，恶意软件作者又挖掘出另一个修改注册表锁定IE主页的方法
主键：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
子键：shell\OpenHomePage\Command
键值："%Programfiles%\Internet Explorer\iexplore.exe"
iexplore.exe 后面添加恶意网址

--------------------------------这里是分隔线-------------------------------------
IE主页被修改的案例
IE主页被修改锁定通常基于前面介绍的哪几种方式，现在我们来看看恶意软件作者怎么传播恶意软件，怎么绑架IE主页。

1 通过软件捆绑的方式，通常为游戏，破解补丁，外挂等
某网友在下载魔兽争霸的时候发现IE主页被修改为www.2345.com 怎么修改也没有效果，最好发现原来这个重达793MB的魔兽本身就是个祸害。从多特下载页面发现以下描述
“提醒:此软件安装要首页是www.2345.com才可以安装,请不愿意支持多特用户不要下载”
其他参考：http://bbs.duba.net/viewthread.php?tid=21987384

2 使用rootkit驱动技术保护注册表键值，普通方法根本无法修改
就像杀毒软件保护自己不被病毒破坏一样，病毒作者也通过rootkit在电脑和用户之间构筑了一道坚固的墙壁阻止用户修改IE主页设置。最近流行的修改主页为9348.cn，kuku530.com的就是这种情况。金山急救箱目前可以通过二次清除的方式来清除这个恶意软件。

--------------------------------这里是分隔线-------------------------------------
IE主页被修改后的解决办法
步骤一：使用金山系统急救箱扫描清除绑架IE主页的恶意软件
在尝试手动编辑修改IE主页之前，应首先检查系统是否存在恶意软件，如果不把绑架IE主页的恶意软件清除，其它所有修复操作都将无效。

下载 (218.51 KB)
10 分钟前

--------------------------------这里是分隔线-------------------------------------
步骤二：如果急救箱修复后，检查IE快捷方式，发现被修改，可直接删除桌面的IE快捷方式，再重建一个
操作方法：
双击我的电脑，浏览到c:\Program Files\Internet Explorer\IEXPLORE.EXE，右键点击IEXPLORE.EXE发送到桌面快捷方式。

或者编辑注册表，修复桌面显示IE快捷方式（不推荐，毕竟编辑注册表是有风险，新建一个新的快捷方式更容易并且更安全）
检查主键：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
子键NewStartPanel
检查子键{871C5380-42A0-1069-A2EA-08002B30309D} 的值，将1 修改为0，如果没有该键值，可新建一个。

--------------------------------这里是分隔线-------------------------------------
步骤三：因金山系统急救箱的修复模块仅支持windows XP操作系统，如果您使用其它windows操作系统，请检查并修改以下注册表键。
点击开始，运行中输入regedit，启动注册表编辑器
检查主键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
键名：
"Start Page" REG_SZ
将Start Page的值修改为空白，或者自定义网址

检查主键：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
子键：shell\OpenHomePage\Command
键值："%Programfiles%\Internet Explorer\iexplore.exe"
检查iexplore.exe 后面有没有添加恶意网址，如果有就删除添加的这个恶意网址。