Unesené prohlížeče

Proti jevu označovanému jako únos prohlížeče může uživatel bojovat jen velmi složitě. Pod pojmem únos prohlí...


Proti jevu označovanému jako únos prohlížeče může uživatel bojovat jen velmi
složitě.


Pod pojmem únos prohlížeče (browser hijack) je možné si představit velice
nebezpečný stav, kdy došlo k modifikaci používaného prohlížeče webových stránek
a jeho nastavení tak, že je zobrazován nekorektní obsah - nejčastěji nežádoucí
domácí stránka (homepage). Zpravidla se nejedná jen o pouhou změnu zobrazení,
ale i o snahu tento změněný stav "zmrazit".
Kdy takový stav nastává? Po návštěvě stránky obsahující nějaký neetický skript
nebo po instalaci jakéhokoliv jiného malwaru. Důvodů může být několik, přičemž
nejčastěji jde o zajištění návštěvnosti stránek, které by jinak zůstaly zcela
bez pozornosti. Majitelé podobných stránek se mohou prostřednictvím nedobrovol-
ně navštěvovaných stránek do počítače snažit vložit i další škodlivé kódy.
Z technického hlediska jsou v podstatě dva možné způsoby provedení únosu
prohlížeče. První z nich využívá bezpečnostních chyb k tomu, aby změnil
přednastavenou domácí stránku prohlížeče na jinou. V takovém případě je náprava
velmi jednoduchá - opět je jako domácí nastavena původní stránka a uživatel
přijme jiná protiopatření.

Násilné metody
Druhý způsob je podstatně agresivnější. Jde o to, že útočník nainstaluje na váš
počítač vlastní aplikaci, která nejen změní nastavení prohlížeče, ale navíc
tuto změnu i bedlivě střeží a dělá vše pro to, aby ji nebylo možné odstranit.
Velmi často se k instalaci podobných zákeřných kódů do počítače využívá
sociálního inženýrství - uživatel třeba klikne na odkaz typu "Zvyšte si zdarma
výkon prohlížeče". V některých případech dokonce dochází k infekci počítače
pouhým otevřením e-mailové zprávy (třeba i v poštovním klientovi díky funkci
Náhled/Preview).
Aplikace sloužící k únosu prohlížeče se zapisuje do složky Spustit po startu
(StartUp) nebo do registrů, a to s jediným cílem: aby k jejímu aktivování došlo
při každém zapnutí počítače a aby mohla "řešit" všechny zásahy měnící nastavení
prohlížeče na původní stav. Tato aplikace se do počítače může dostat i nepřímým
způsobem - nějaká stránka uloží mezi oblíbené položky bez vědomí uživatele
odkaz na stránku jinou, obsahující právě takový nástroj.
Z mnoha důvodů je browser hijack nesmírně nepříjemnou záležitostí především
díky vynalézavosti a agresivitě tvůrců podobného malwaru. Neexistuje totiž
žádný univerzální recept na to, jak má "únosce" vypadat, a tudíž jak by mělo
probíhat jeho odstranění. Zpravidla se jedná o kód instalovaný na několika
různých místech pod různými názvy a v různých podobách. Při odstraňování pak
stačí jednu kopii přehlédnout, kód se opět rozšíří na celou stanici a je nutné
začít znovu.
Většina podobných útoků je přitom směřována vůči Internet Exploreru, respektive
jeho nezabezpečené podobě. Ale i ostatní dodavatelé alternativních prohlížečů
připouštějí, že s únosy mívají problémy, pokud jsou jejich produkty ponechány
ve standardním nastavení.

Zabránění přenosu
Aplikace, která provede únos prohlížeče, se musí do počítače nějakým způsobem
dostat. V této rovině je ochrana před problémem podobná obraně před jakýmkoliv
jiným škodlivým kódem - tedy používání antivirového a antispywarového programu,
aktualizace programů, instalace bezpečnostních záplat a především opatrnost při
instalaci jakýchkoliv neznámých či neověřených programů. Na firemní úrovni by
měla být tato "divoká" instalace rozhodně zakázána a pouhá snaha o obejití
zákazu by měla být tvrdě postihována.
Můžete také spustit skript IE-SPYADS (naleznete jej na webové adrese
https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD). Tento skript
obsahuje seznam známých nebezpečných webových stránek určených do "Restricted
Zone" (Omezená oblast) v IE. Stránky zde umístěné přitom můžeme bez potíží
navštěvovat, jsou však blokovány jejich javaskripty, aplety, nebudou moci
nastavovat nebo číst cookies nebo používat ActiveX skriptování. Takže je velmi
tvrdě omezeno to, co dotyčné stránky mohou udělat na počítači.
Microsoft AntiSpyware také obsahuje nástroje schopné browser hijack buď přímo
blokovat, nebo následně snadno zvládnout.



Jak PC po provedeném útoku "uklidit"Základem boje proti únosům prohlížečů je
samozřejmě důkladná příprava - aktualizace operačního systému, na něm běžících
aplikací či update souborů pro antivirové i antispywarové aplikace.
Jako velmi vhodná se jeví aplikace HiJackThis (při jejím nasazení se řiďte
instrukcemi uvedenými na její domovské stránce www.tomcoyote.com/hjt/). Tato
aplikace umožní zkontrolovat registry nebo nastavení IE, které jsou podezřelé.
Před zahájením "čisticích" prací se odpojte od internetu a počítač znovu
připojte až v okamžiku, kdy bude čistý. Zkontrolujte stanici pomocí kvalitního
antivirového i antispywarového programu. Restartujte a přejděte do nouzového
režimu - nebezpečné soubory v něm nejsou spuštěny, a nejsou tudíž odolné vůči
smazání. Zkontrolujte složku StartUp. Pokud zde (nebo kdekoliv jinde) nezvaného
hosta naleznete, zkuste vyhledat další stejné soubory na počítači a
zkontrolujte, zda na ně nevede odkaz z registrů.
Prověřte počítač na přítomnost souborů s příponou .hta - ty smažte nebo alespoň
přejmenujte (nejste-li si jisti jejich korektností - aby je bylo možné v
případě potřeby rychle a snadno obnovit). Stejně zkontroluje počítač na
přítomnost souborů s příponou .js - ty nemažte, nýbrž je otevřte (třeba v
Poznámkovém bloku) a podívejte se, zda se v nich nenachází nějaký podivný odkaz
(třeba právě na stránku, která vás obtěžuje). Smažte TMP soubory (nejlépe
všechny, nejsou potřeba pro korektní běh počítače, ale škodlivé kódy se v nich
někdy skrývají). Nakonec vyprázdněte odpadkový koš (Recycle Bin) a
zkontrolujte, jestli v něm nejsou nějaké skryté soubory. Nezapomeňte před
připojením k internetu restartovat počítač (a také změnit svoji domácí i
vyhledávací stránku v prohlížeči).
Někdy se také stane, že únosce prohlížeče zabrání zobrazení složky Internet
Options (Možnosti internetu) v Ovládacích panelech. Proto je potřeba tuto
složku zase vrátit do původní podoby, a to tak, že ve starších verzích Windows
najdete soubor control.ini, otevřete jej v Poznámkovém bloku a naleznete
následující řetězec:
[don't load]
inetcpl.cpl=yes
Smažte řádek "inetcpl.cpl=yes" a soubor uložte. Pokud se Internet Options
nezobrazí, restartujte počítač. Ve Windows 2000 a XP je nutné za tímto účelem
editovat registry - když v nich budete, najděte klíč HKEY_CURRENT_USERControl
Paneldon't load. Pokud je tam hodnota
"inetcpl.cpl", smažte ji a registry uložte.
Výše uvedená doporučení by měla pomoci v 99 % únosů prohlížečů. Stále ale zde
zůstává ono nepříjemné procento, kdy je únos provedený opravdu fundovaně a
nebezpečně, takže se škodlivé aplikace ani tímto způsobem nezbavíte. Popisy
sofistikovaných metod napadení počítače a vypořádání se s nimi ovšem překračují
možnosti tohoto materiálu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.