Porywacze przeglądarek

Do grupy potencjalnie niechcianego oprogramowania, instalowanego w systemie często bez wiedzy i zgody użytkownika, oprócz niesławnych pasków narzędzi należy sporo złośliwych modułów typu browser hijack. Modyfikują one ustawienia oraz działanie przeglądarki internetowej, w szczególny sposób utrudniając życie użytkownikom.


Microsoft definiuje browser hijacking („porwanie przeglądarki”) jako rodzaj oszustwa online. Cyberprzestępcy wykorzystują złośliwe oprogramowanie, aby przejąć kontrolę nad przeglądarką internetową i wpłynąć na to, co wyświetla ona na ekranie użytkownika w trakcie surfowania po internecie. Producent systemu Windows i Internet Explorera jest szczególnie zainteresowany tym, aby ograniczyć rozpowszechnianie się złośliwego oprogramowania atakującego przeglądarkę internetową. Firma ta podaje kilka wytycznych, które pozwolą rozpoznać, że cyberprzestępcy przejęli kontrolę nad przeglądarką.

Jak rozpoznać porwanie przeglądarki?

Zmiana strony startowej (domowej), dostawców wyszukiwania oraz innych ustawień przeglądarki to najbardziej widoczne objawy działania modułów typu browser hijacking. Złośliwe oprogramowanie dodaje również odnośniki (linki) do stron, których zazwyczaj unikasz.

Wśród innych objawów Microsoft wymienia: brak możliwości otwarcia niektórych storn internetowych, w szczególności związanych z oprogramowaniem zabezpieczającym i antyszpiegowskim, nieskończoną liczbę reklam pojawiających się na monitorze użytkownika oraz nowe paski narzędzi i wpisy na liście Ulubionych w przeglądarce internetowej. Złośliwe oprogramowanie może również istotnie spowolnić działanie komputera, próbować ustawić własne strony błędów lub przekierować przeglądarkę do fałszywej witryny, jeśli pomylisz się i w polu adresu wpiszesz nieprawidłową nazwę. Niechciane programy browser hijack modyfikują również ustawienia przeglądarki związane z zabezpieczeniami. Przykładem takiego działania może być dodanie do listy zaufanych stron, które nigdy nie powinny się na niej znaleźć.

Wcale nie jest trudno „złapać” takiego internetowego wirusa. Najważniejszym medium rozpowszechniania się malware atakującego przeglądarki internetowe są strony, które zachęcają do instalacji różnego rodzaju wtyczek, dodatków i bibliotek na komputerze użytkownika. Z takim żądaniem zapewne często można się spotkać, próbując odtworzyć nagranie wideo lub ściągnąć bezpłatne (albo nielegalne) oprogramowanie. Malware rozsyłane są również jako załączniki do poczty internetowej i przez serwisy społecznościowe.

W końcu, podobnie jak spyware i adware, oprogramowanie modyfikujące ustawienia przeglądarki instalowane jest bez wiedzy użytkownika lub za jego nieświadomym przyzwoleniem. Aplikacje te dołączane są do programów freeware i shareware, stanowiąc dla ich autorów szansę na jedyny lub dodatkowy zarobek.

Przykładowe szkodniki

Win32/StartPage – rodzina koni trojańskich, które zmieniają stronę główną (domową) popularnych przeglądarek internetowych. Ostatnia modyfikacja tego szkodnika, wykryta w 2013 roku i oznaczona jako Win32/StartPage.ORS, modyfikuje pliki ustawień Google Chrome, Firefoksa i Opery oraz klucze rejestru przechowujące konfigurację Internet Explorera.

JS/Chromex.FBook to kolejny koń trojański, którego wykryto w ubiegłym roku. Szkodnik rozpowszechniany jest w formie rozszerzenia dla przeglądarek Google Chrome ((JS/Chromex.FBook.A) oraz Firefoksa (JS/Chromex.FBook.H). Pozostaje w ukryciu aż do momentu zalogowania się użytkownika w serwisie Facebook. Gdy to nastąpi, szkodnik publikuje na tablicy użytkownika swoje wpisy z odnośnikiem do zainfekowanej witryny, która zachęca znajomych do pobrania i zainstalowania dodatku w przeglądarce.

Win32/ProxyChanger modyfikuje ustawienia serwerów pośredniczących (proxy), aby przekierować ruch sieciowy z wybranych stron internetowych na inny adres IP. Technika ta wykorzystywana jest przez różnego rodzaju trojany bankowe, które próbują wyłudzić poświadczenia logowania oraz kody autoryzacyjne.

Trojan występuje w kilku wariantach. Win32/ProxyChanger.NA blokuje dostęp do kilku wybranych stron WWW, przekierowując użytkownika pod inny adres. W wariancie W32/ProxyChanger.HJ szkodnik próbuje przejąć kontrolę na zdalnym komputerze (usuwanie plików, zabijanie procesów) oraz wykorzystać go do prowadzenia ataków typu DoS.

Win32/Boaxxe to inna rodzina podstępnych trojanów typu browser hijack. W wariancie Win32/Boaxxe.BE szkodnik modyfikuje wyniki wyszukiwania, aby przekierować użytkownika do stron zawierających oprogramowanie wyświetlające reklamy (adware). Dodatkowo, automatycznie „klika” reklamy, aby wygenerować dla oszustów dodatkowy ruch i podbić statystyki odwiedzin. Trojan doskonale działa z Internet Explorerem, Google Chrome oraz Firefoksem.