玩遊戲後IE瀏覽器首頁被篡改的分析和處理

來源:互聯網
上載者:User

近日接到使用者反饋,IE首頁總是被改。該現象一般是使用者不知情的情況下主動或被動地運行了某些應用程式後進行的修改,可以是隨系統啟動而啟動,也可以是隨某個第三方應用程式啟動而啟動,甚至是做一些簡單的欺騙。
本文旨在介紹一種常見欺騙玩法。

在本案例中我們首先發現在Internet屬性中將首頁設定為空白頁後依然開啟某導航頁面。

 

在本案例中出現該現象是由於一個註冊表索引值定義導致,詳情參考

/Article/200905/38171.html

之後手工清理註冊表或使用Papa的工具清理後便可以正常開啟空白的IE首頁,但是每當運行案頭上的遊戲後便又改回去了。

進入遊戲的目錄後以下兩個檔案引起了我們的注意:

將d3dx10.dll檔案改名後運行Heroe.exe出現如下報錯,並無條件彈出下載網站連結:

 

看到這個現象後基本原因上就很明朗了,以下是簡單分析:

1.建立遊戲捷徑指向虛假的遊戲主程式Heroe.exe;

2.而實際上d3dx10.dll為真實的遊戲主程式;

3.當Heroe.exe運行後會修改IE首頁等設定,並將d3dx10.dll設定為隱藏屬性並改名為遊戲檔案名稱Hero.exe;

4.在Hero.exe正常結束(使用者在遊戲中正常執行的退出操作)後Heroe.exe會將Hero.exe改名回d3dx10.dll;

5.如Heroe.exe運行後找不到真正的遊戲主程式d3dx10.dll或Hero.exe時,快顯視窗要求使用者訪問單擊遊戲下載網站hxxp://www.newyx.net

處理方案:

1.取消d3dx10.dll的隱藏屬性並改名為Hero.exe;

2.將案頭遊戲捷徑所指向的檔案修改為真實的遊戲主程式檔案名稱Hero.exe;

3.只用Papa之前介紹過的方法處理IE首頁被改的問題,詳情:html">/Article/200905/38171.html

【註:基於安全考慮,文中部分網路連結“http”被替換為“hxxp”,特此說明。】

【資料來源:金山毒霸社區。作者papa現為金山客服工程師。】

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.