【赛迪网-IT技术报道】近日接到用户反馈,IE首页总是被改。该现象一般是用户不知情的情况下主动或被动地运行了某些应用程序后进行的修改,可以是随系统启动而启动,也可以是随某个第三方应用程序启动而启动,甚至是做一些简单的欺骗。
本文旨在介绍一种常见欺骗玩法。
在本案例中我们首先发现在Internet属性中将首页设置为空白页后依然打开某导航页面。
在本案例中出现该现象是由于一个注册表键值定义导致,详情参考:http://security.ccidnet.com/art/1099/20090513/1766611_1.html
之后手工清理注册表或使用Papa的工具清理后便可以正常打开空白的IE首页,但是每当运行桌面上的游戏后便又改回去了。
进入游戏的目录后以下两个文件引起了我们的注意:
将d3dx10.dll文件改名后运行Heroe.exe出现如下报错,并无条件弹出下载网站链接:
看到这个现象后基本原因上就很明朗了,以下是简单分析:
1.创建游戏快捷方式指向虚假的游戏主程序Heroe.exe;
2.而实际上d3dx10.dll为真实的游戏主程序;
3.当Heroe.exe运行后会修改IE首页等设置,并将d3dx10.dll设置为隐藏属性并改名为游戏文件名Hero.exe;
4.在Hero.exe正常结束(用户在游戏中正常执行的退出操作)后Heroe.exe会将Hero.exe改名回d3dx10.dll;
5.如Heroe.exe运行后找不到真正的游戏主程序d3dx10.dll或Hero.exe时,弹出窗口要求用户访问单击游戏下载网站hxxp://www.newyx.net
处理方案:
1.取消d3dx10.dll的隐藏属性并改名为Hero.exe;
2.将桌面游戏快捷方式所指向的文件修改为真实的游戏主程序文件名Hero.exe;
3.只用Papa之前介绍过的方法处理IE首页被改的问题,详情观看http://security.ccidnet.com/art/1099/20090513/1766611_1.html。
【注:基于安全考虑,文中部分网络链接“http”被替换为“hxxp”,特此说明。】
【资料来源:金山毒霸社区。作者papa现为金山客服工程师。】
(责任编辑:李磊)
