Hijacker.Browser

Browser hijacker est une infection qui modifie certains paramètres de vos navigateurs internet. Il s’agit généralement d’effectuer une redirection du trafic à partir des pages de démarrage et/ou de recherches vers un serveur dédié qui collecte des renseignements sur vos habitudes de navigations. Le détournement peut se faire via un argument placé dans la cible du raccourci du navigateur. Il s’installe généralement à votre insu via le téléchargement de gratuiciels ou d’extensions de navigateur. L’objectif est de gagner de l’argent en générant du trafic Web. Ces redirections peuvent ralentir la navigation internet et provoquer des affichages publicitaires intempestifs et fréquents qui viennent perturber la lisibilité des pages web.

0_Features

– Il appartient à une famille de pirates de navigateurs (Hijacker).
– Vendeur : PUP.Optional

0_Main_Actions

– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il installe un plugin du navigateur Mozilla Firefox (P2),
– Il modifie la page de démarrage du navigateur Opera (B0),
– Il remplace la page de démarrage du navigateur Mozilla Firefox (M0),
– Il remplace la page de démarrage du navigateur Google Chrome (G0),
– Il modifie la page de démarrage du navigateur Internet Explorer (R0),
– Il modifie la page de recherche du navigateur Internet Explorer (R1),
– Il remplace la page de recherche du navigateur Mozilla Firefox (M1),
– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),
– Il s’installe en tant que barre d’outil (Toolbar) de Navigateur internet (O3),
– Il place de multiples raccourcis d’application, Desktop, QuickLaunch, Taskbar (O4GS),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il modifie le fournisseur de recherche Internet (O69),

0_Zhpdiag

I – Redirection via le fichier Manifest.
Généralement votre navigateur utilise un fichier de préférence, c’est le cas notamment de Google Chrome. Lorsque l’on installe une extension de navigateur, un dossier est crée et certaines informations sont disponibles dans un fichier nommé manifest.json. Dans ce fichier, une redirection peut être activée avec le remplacement de la valeur « update_url » par une autre adresse comme par exemple « http://search.offerbox.com/fr/results/ »

Cas d’une extension légitime :
G2 – GCE: Preference

[User Data\Default] [oolpphfmdmjbojolagcbgdemojhcnlod] Palette for Chrome
update_url : https://clients2.google.com/service/update2/crx

Cas d’une extension légitime avec recherche redirigée :
G2 – GCE: Preference [User Data\Default] [oolpphfmdmjbojolagcbgdemojhcnlod] Palette for Chrome
update_url : « http://search.offerbox.com/fr/results/ »

Cas d’une extension indésirable :
G2 – GCE: Preference [User Data\Default] [nfedoihopcjdfjihhhojdclnfdgomdho] __MSG_ExtnName__
update_url : « https://mynamedomain.koko »

II – Redirection via l’ajout de plugin.
Navigateur Firefox :
M0 – MFSP: prefs.js [Coolman – 2o9xi33i.default] http://navigateur.org
M0 – MFSP: prefs.js [Coolman – fjgxhey2.default] www.bugzze.com
M1 – SPR:Search Page Redirection – C:\Program Files\Mozilla Firefox\browser\searchplugins\dosearches.xml
M3 – MFPP: Plugins – [Coolman] — C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\coolman.default\searchplugins\bugzze.xml

Navigateur Chrome :
G0 – GCSP: Secure Preferences [User Data\Default][HomePage] http://homepage-web.com/
G1 – GCS: Preference [User Data\Default] http://www.dosearches.com/

Navigateur Internet Explorer :
R0 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com
R0 – HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com
R1 – HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs = http://search.protectedio.com/
R1 – HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = http://search.protectedio.com/

Navigateur Opera :
B0 – SPO: operaprefs.ini [Coolman] Home URL=http://www.bugzze.com
B0 – SPO: operaprefs.ini [Coolman] Home URL=http://www.searcheo.fr
B1 – OSP: search.ini [Coolman] URL=http://www.searcheo.fr

Redirection par clé SearchScopes :
O69 – SBI: SearchScopes [HKCU] {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} – (WebSearch) – http://websearch.mocaflix.com
O69 – SBI: SearchScopes [HKCU] {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} [DefaultScope] – (psearch) – http://search.protectedio.com/

0_Alias

AdWare.BHO.WVE [F-Secure] Keenfinder.com redirector
Adware:Win32/OpenCandy [Microsoft] Spyware.VMNToolbar
Hijacker.ChercheUS
PUP.Optional.WhiteSmoke.A [Malwarebytes] Adware.IPNetwork

Remove_Software

– Supprimer le logiciel via le panneau de configuration Windows,
– Supprimer l’extension de tous les navigateurs installés,
0_ZHPcleaner
Supprimer avec ZHPcleaner
ZHPCleaner_EN2
0_Zhpdiag
Diagnostiquer avec ZHPDiag
ZHPDiag_2-300x220

2016-11-25T00:18:54+00:00Catégories : Hijacker|Mots-clés : |0 commentaire

Laisser un commentaire

HTML Snippets Powered By : XYZScripts.com