科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道从IE弹出广告来看流氓软件原理

从IE弹出广告来看流氓软件原理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

很多人受到IE自动弹出广告的困扰吧,这里给出一个解决思路,可以搞定利用BHO(Browser Helper Objects,浏览器帮助模块)兴风作浪的流氓软件。
  • 评论
  • 分享微博
  • 分享邮件

  很多人受到IE自动弹出广告的困扰吧,这里给出一个解决思路,可以搞定利用BHO(Browser Helper Objects,浏览器帮助模块)兴风作浪的流氓软件。遗憾的是这个方法还是比较复杂的,仅限高手使用,希望高手们能够帮助身边的朋友接触他们的痛苦。

  1、运行regedit,打开到

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

  CurrentVersionExplorerBrowserHelperObjects

  这里有数个BHO的ID号:

  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Adobe Acrobat Reader

  {3E422F49-1566-40D3-B43D-077EF739AC32} 未知

  {A5366673-E8CA-11D3-9CD9-0090271D075B} 网际快车(FlashGet)

  {AA58ED58-01DD-4d91-8333-CF10577473F7} Google Toolbar

  {E5A1691B-D188-4419-AD02-90002030B8EE} FlashFXP

  2、复制未知BHO的ID号,到HKEY_CLASSES_ROOT下进行搜索,将找到的CLSID项展开,双击InprocServer32,右侧将会显示出这个CLSID对应的DLL文件位置winntsystem32和名称Navihelper.dll,将其记录下来。(可能未知ID名称会有所不同,一定要搜索所有的未知ID,以便彻底清洁)

  3、用UltraEdit打开此Navihelper.dll,发现了一个host.dat的字符串,而且在winntsystem32下。用UltraEdit打开host.dat,可以看到数个广告地址,这无疑就是恶意弹出广告的来源了。

  4、首先在注册表里把{3E422F49-1566-40D3-B43D-077EF739AC32}和Navihelper的键值全部查找出来并删除。然后,开始,运行,输入:“regsvr32 NaviHelper.dll -u”。最后重新启动计算机,到winntsystem32下删除NaviHelper.dll及Host.dat文件即可。

  流氓软件原理分析:此Navihelper.dll使用BHO(这个东东实在太强大了)的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat中,然后根据host.dat的设置在用户使用IE的时候显示广告。

  想起CTO Tony讲的一句话,当恶性软件制造者从他们的工作中获取到足够多利益的时候,他们的行为就会在经济利益的驱使下形成了一种正向循环,会让良性软件制造者无从应对,最好的办法是从一开始就加大他们的成本降低他们的收入。(e129)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章