Hijacker.Browser

Browser hijacker est une infection qui modifie certains paramètres de vos navigateurs internet. Il s’agit généralement d’effectuer une redirection du trafic à partir des pages de démarrage et/ou de recherches vers un serveur dédié qui collecte des renseignements sur vos habitudes de navigations. Le détournement peut se faire via un argument placé dans la cible du raccourci du navigateur. Il s’installe généralement à votre insu via le téléchargement de gratuiciels ou d’extensions de navigateur. L’objectif est de gagner de l’argent en générant du trafic Web. Ces redirections peuvent ralentir la navigation internet et provoquer des affichages publicitaires intempestifs et fréquents qui viennent perturber la lisibilité des pages web.

Description

– Il appartient à une famille de pirates de navigateurs (Hijacker).
– Vendeur : PUP.Optional

Actions de l adware

– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il installe un plugin du navigateur Mozilla Firefox (P2),
– Il modifie la page de démarrage du navigateur Opera (B0),
– Il remplace la page de démarrage du navigateur Mozilla Firefox (M0),
– Il remplace la page de démarrage du navigateur Google Chrome (G0),
– Il modifie la page de démarrage du navigateur Internet Explorer (R0),
– Il modifie la page de recherche du navigateur Internet Explorer (R1),
– Il remplace la page de recherche du navigateur Mozilla Firefox (M1),
– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),
– Il s’installe en tant que barre d’outil (Toolbar) de Navigateur internet (O3),
– Il place de multiples raccourcis d’application, Desktop, QuickLaunch, Taskbar (O4GS),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre “Software”,
– Il crée des dossiers supplémentaires (O43),
– Il modifie le fournisseur de recherche Internet (O69),

Interprétation sur ZHPDiag

I – Redirection via le fichier Manifest.
Généralement votre navigateur utilise un fichier de préférence, c’est le cas notamment de Google Chrome. Lorsque l’on installe une extension de navigateur, un dossier est crée et certaines informations sont disponibles dans un fichier nommé manifest.json. Dans ce fichier, une redirection peut être activée avec le remplacement de la valeur “update_url” par une autre adresse comme par exemple “http://search.offerbox.com/fr/results/”

Cas d’une extension légitime :
G2 – GCE: Preference Palette for Chrome
update_url : https://clients2.google.com/service/update2/crx

Cas d’une extension légitime avec recherche redirigée :
G2 – GCE: Preference Palette for Chrome
update_url : “http://search.offerbox.com/fr/results/”

Cas d’une extension indésirable :
G2 – GCE: Preference __MSG_ExtnName__
update_url : “https://mynamedomain.koko”

II – Redirection via l’ajout de plugin.
Navigateur Firefox :
M0 – MFSP: prefs.js http://navigateur.org
M0 – MFSP: prefs.js www.bugzze.com
M1 – SPR:Search Page Redirection – C:Program FilesMozilla Firefoxbrowsersearchpluginsdosearches.xml
M3 – MFPP: Plugins – — C:UsersCoolmanAppDataRoamingMozillaFirefoxProfilescoolman.defaultsearchpluginsbugzze.xml

Navigateur Chrome :
G0 – GCSP: Secure Preferences http://homepage-web.com/
G1 – GCS: Preference http://www.dosearches.com/

Navigateur Internet Explorer :
R0 – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.hao123.com
R0 – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.hao123.com
R1 – HKLMSOFTWAREMicrosoftInternet ExplorerAboutURLs,Tabs = http://search.protectedio.com/
R1 – HKLMSOFTWAREWow6432NodeMicrosoftInternet ExplorerAboutURLs,Tabs = http://search.protectedio.com/

Navigateur Opera :
B0 – SPO: operaprefs.ini Home URL=http://www.bugzze.com
B0 – SPO: operaprefs.ini Home URL=http://www.searcheo.fr
B1 – OSP: search.ini URL=http://www.searcheo.fr

Redirection par clé SearchScopes :
O69 – SBI: SearchScopes {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} – (WebSearch) – http://websearch.mocaflix.com
O69 – SBI: SearchScopes {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} – (psearch) – http://search.protectedio.com/

Aussi connu comme

AdWare.BHO.WVE
Keenfinder.com redirector
Adware:Win32/OpenCandy
Spyware.VMNToolbar
Hijacker.ChercheUS
PUP.Optional.WhiteSmoke.A
Adware.IPNetwork

Comment le supprimer ?

– Supprimer le logiciel via le panneau de configuration Windows,
– Supprimer l’extension de tous les navigateurs installés,

Supprimer avec ZHPcleaner

Diagnostiquer avec ZHPDiag

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page