从互联网诞生至今,无论是技术*,还是普通网民,相信每一个人都曾经或正在被一个问题所困扰:
为什么我的浏览器主页总是莫名其妙变成了XXXX网站?
在网上,诸如“浏览器主页被XX网址大全篡改无法修改怎么办?”的求助帖也层出不穷,包括专业IT技术社区CDSN网站。
扩展迷也经常在后台收到各种用户
为什么我明明已经安装了infinity新标签页插件,但是打开浏览器主页还是XXXX导航网址?
更令人头疼的是,这种时候,即使你想手动修改回原来的浏览器主页,都可能无能为力。
这种情况,我们统称为浏览器主页劫持。
它指的是用户设置的主页网址,在自己不知情的情况下被强行篡改为其他网址。当用户打开浏览器后,显示的页面变成劫持者设置的页面。
大部分情况下,用户都是在下载安装了一些流氓软件、破解软件后,才会出现主页被劫持锁定的情况。
浏览器主页劫持现象由来已久,劫持手段也在日益更新,令人无可奈何。
去年,人民日报发长文痛批浏览器主页被劫持的问题,点名、、金山等公司,引起了社会的强烈反响。
要知道,篡改用户浏览器主页背后涉及的利益是非常“可观”的。
业内专家介绍,一般的导航页里面会有将近个位置,每个位置实际上都是一个流量入口,而入口实际上是带着付费链接的。
鉴于我国庞大的用户基数,这个市场的规模可以说是相当恐怖。
所以,除了上述那些只是稍微“流氓”了点的正规软件以外,黑产灰产也自然盯上了这块肥肉。
今年1月,扩展迷曾发布了一篇文章,文中引用了国家计算机病*应急处理中心的一则公告。
公告称,通过对互联网的监测,发现一款名为暴风激活工具的软件携带恶性病*会劫持用户浏览器主页。
由于该木马运行之后会将病*文件释放到Mlxg_km目录下面,故根据其大写字母命名为「麻辣香锅」病*。
「麻辣香锅」病*最主要的目的,就是劫持用户浏览器主页,几乎所有主流浏览器的主页都会被该病*篡改并进行锁定。
谷歌Chrome、火狐Firefox、IE浏览器、淘宝浏览器、百度浏览器、搜狗浏览器、QQ浏览器和UC浏览器等等,都是它的劫持对象。
浏览器主页被劫持后会被强制锁定,因此用户无法修改,即便手动修改主页在浏览器重启后会再次遭到篡改。
除了暴风激活工具以外,「麻辣香锅」主要还通过其他各类激活工具和破解软件进行传播。
它还会拒绝病*进程之外的所有请求,以保护病*文件,并且会注册一个名为WindowsMobileUserExperienceServer伪装成系统服务。
也正因为此,许多非专业用户都可能会把它当做系统进程而不予理会。
「麻辣香锅」的盈利模式也很简单:强制锁定用户主页为导航网站导流,然后病*作者就可以获得导航网站的流量分成了。
上一次爆发后,近期,又有大量用户在火绒论坛反馈浏览器首页遭遇劫持。
火绒工程师溯源发现,上述用户均是在某激活工具