El secuestro del navegador es una forma de software no deseado que modifica la configuración de un navegador web sin el permiso del usuario, para inyectar publicidad no deseada en el navegador del usuario. Un secuestrador de navegador puede reemplazar la página de inicio , la página de error o el motor de búsqueda existente por uno propio. [1] Estos se utilizan generalmente para forzar visitas a un sitio web en particular , aumentando sus ingresos publicitarios .
Algunos secuestradores de navegador también contienen software espía , por ejemplo, algunos instalan un registrador de teclas de software para recopilar información como datos bancarios y de autenticación de correo electrónico. Algunos secuestradores de navegador también pueden dañar el registro en los sistemas Windows , a menudo de forma permanente.
Algunos secuestros del navegador se pueden revertir fácilmente, mientras que otros casos pueden ser difíciles de revertir. Existen varios paquetes de software para evitar dicha modificación.
Muchos programas de secuestro del navegador están incluidos en paquetes de software que el usuario no eligió y se incluyen como "ofertas" en el instalador de otro programa, a menudo se incluyen sin instrucciones de desinstalación o documentación sobre lo que hacen, y se presentan de una manera que está diseñado para ser confuso para el usuario promedio, para engañarlo para que instale software adicional no deseado. [2] [3] [4] [5]
Hay varios métodos que utilizan los secuestradores de navegadores para acceder a un sistema operativo. Los archivos adjuntos de correo electrónico y los archivos descargados a través de sitios web sospechosos y torrents son tácticas comunes que utilizan los secuestradores de navegadores. [ cita requerida ]
Fondo
Software de seguridad falso
Algún software de seguridad fraudulento también secuestrará la página de inicio, generalmente mostrando un mensaje como "¡ADVERTENCIA! ¡Su computadora está infectada con software espía!" para llevar a la página de un proveedor de antispyware. La página de inicio volverá a la configuración normal una vez que el usuario compre su software. Se sabe que programas como WinFixer secuestran la página de inicio del usuario y la redirigen a otro sitio web.
Páginas de dominio inexistentes
El sistema de nombres de dominio se consulta cuando un usuario escribe el nombre de un sitio web (por ejemplo, wikipedia.org) y el DNS devuelve la dirección IP del sitio web, si existe. Si un usuario escribe mal el nombre de un sitio web, el DNS devolverá una respuesta de dominio inexistente (NXDOMAIN).
En 2006, EarthLink comenzó a redirigir los nombres de dominio mal escritos a una página de búsqueda. Esto se hizo interpretando el código de error NXDOMAIN en el nivel del servidor. El anuncio generó muchos comentarios negativos y EarthLink ofreció servicios sin esta función. [6]
Operación
Los programas no deseados a menudo no incluyen ningún signo de que estén instalados, ni instrucciones de desinstalación o exclusión voluntaria. [2]
La mayoría de los programas de secuestro cambian constantemente la configuración de los navegadores, lo que significa que las opciones del usuario en su propio navegador se sobrescriben. Algunos programas antivirus identifican el software de secuestro del navegador como software malintencionado y pueden eliminarlo. Algunos programas de exploración de software espía tienen una función de restauración del navegador para restablecer la configuración del navegador del usuario a la normalidad o alertarlos cuando se ha cambiado la página del navegador.
Evitación
A partir de Microsoft Windows 10 , los navegadores web ya no pueden configurarse como predeterminados del usuario sin una intervención adicional; El usuario debe realizar manualmente el cambio del navegador web predeterminado desde la página "Aplicaciones predeterminadas" de Configuración, aparentemente para evitar el secuestro del navegador. [7]
Ejemplos de secuestradores
Varios secuestradores cambian la página de inicio del navegador, muestran anuncios y / o configuran el motor de búsqueda predeterminado; estos incluyen Astromenda (www.astromenda.com); [8] [9] [10] Barra de herramientas Ask (ask.com); ESurf (esurf.biz) Binkiland (binkiland.com); Delta y Claro ; Dregol ; [11] Jamenize ; Mindspark ; Groovorio ; La página de dulce; Mazy Search ; Search Protect by Conduit junto con search.conduit.com y variantes ; Tuvaro ; Espita ; en.4yendex.com ; Yahoo ; etc.
barra de herramientas de Babylon
Babylon Toolbar es un secuestrador del navegador que cambiará la página de inicio del navegador y establecerá el motor de búsqueda predeterminado en isearch.babylon.com. También es una forma de adware . Muestra anuncios, enlaces patrocinados y resultados de búsqueda de pago falsos. El programa recopilará términos de búsqueda de sus consultas de búsqueda.
El software de traducción de Babylon solicita agregar la barra de herramientas de Babylon en la instalación. La barra de herramientas también viene incluida como un complemento con otras descargas de software. [12]
En 2011, el sitio de CNet Download.com comenzó a empaquetar la barra de herramientas de Babylon con paquetes de código abierto como Nmap . Gordon Lyon , el desarrollador de Nmap, estaba molesto por la forma en que los usuarios de su software fueron engañados para que usaran la barra de herramientas. [13] El vicepresidente de Download.com, Sean Murphy, lanzó una disculpa: El empaquetado de este software fue un error de nuestra parte y nos disculpamos con las comunidades de usuarios y desarrolladores por los disturbios que causó. [14]
Existen variantes similares de la barra de herramientas de Babylon y la página de inicio de búsqueda, que incluyen: Bueno Search, Delta Search, Claro Search y Search GOL. Todas estas variantes afirman ser propiedad de Babylon en los términos de servicio.
Todas las barras de herramientas fueron creadas por Montiera. [15]
Conducto (protección de búsqueda)
Conduit es un PUP / secuestrador. Roba información personal y confidencial del usuario y la transfiere a un tercero. Esta barra de herramientas ha sido identificada como programas potencialmente no deseados (PUP) por Malwarebytes [16] y normalmente se incluye con descargas gratuitas. [17] [18] Estas barras de herramientas modifican el motor de búsqueda predeterminado del navegador, la página de inicio, la página de nueva pestaña y varias otras configuraciones del navegador. Existen variantes similares de búsqueda de conductos como trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb .com, junto con otras variantes que se crearon de forma personalizada para el servicio de creación de barras de herramientas que ofrecía Conduit Ltd. [ cita requerida ]
Un programa llamado "Conduit Search Protect", más conocido como "Search Protect by conduit", puede causar graves errores del sistema al desinstalarlo. Afirma proteger la configuración del navegador, pero en realidad bloquea todos los intentos de manipular un navegador a través de la página de configuración; en otras palabras, se asegura de que la configuración maliciosa permanezca sin cambios. Search Protect tiene una opción para cambiar la página de inicio de búsqueda de la página de inicio de búsqueda "recomendada" Trovi, sin embargo, los usuarios han informado que vuelve a cambiar a Trovi después de un período de tiempo. [ cita requerida ] El programa de desinstalación de Search Protect puede hacer que Windows no se pueda iniciar porque el archivo de desinstalación no solo elimina sus propios archivos, sino también todos los archivos de inicio en la raíz de la unidad C :. [ cita requerida ] y deja un archivo BackGroundContainer.dll en el registro de inicio. [19] Conduit está asociado con malware , spyware y adware , ya que las víctimas de este secuestrador han informado de ventanas emergentes no deseadas y anuncios incrustados en el texto en sitios sin anuncios.
Perion Network Ltd. adquirió el negocio ClientConnect de Conduit a principios de enero de 2014, [20] y luego se asoció con Lenovo para crear Lenovo Browser Guard, [21] que utiliza componentes de Search Protect.
Las víctimas de redirecciones no deseadas a conduit.com también han informado que han sido atacadas por intentos de phishing y han recibido correos electrónicos no deseados, correo basura, otros mensajes y llamadas telefónicas de vendedores telefónicos. Algunas víctimas afirman que quienes llamaron afirmaron ser Apple, Microsoft o su ISP , y se les dijo que se utilizó información personal en algunas llamadas telefónicas y que algunas de las llamadas se referían a sus hábitos de navegación y su historial de navegación reciente. La información personal utilizada en intentos de phishing puede estar asociada con software espía. [22]
Servidor de cupones
Cupón Server es un adware programa incluido con múltiples aplicaciones gratuitas que se pueden descargar a través de Internet por los usuarios. Este programa puede aparecer en PC sin que el usuario lo sepa. Coupon Server puede parecer útil, pero puede ser intrusivo y mostrar anuncios sin los permisos de los usuarios. [23] Coupon Server también se considera un secuestrador de dominios y navegadores maliciosos . Secuestrará su navegador de Internet y conducirá a la fuerza al usuario a su página de inicio, que está disfrazada como un motor de búsqueda legítimo para engañar a los visitantes para que usen el sitio web. También dirigirá el navegador a un dominio sospechoso y alterará la configuración del navegador.
istartsurf.com
El secuestrador del navegador istartsurf.com puede reemplazar las herramientas de búsqueda preferidas. Esta infección viaja junto con aplicaciones de terceros y su instalación puede ser silenciosa. Debido a esto, los usuarios afectados no son conscientes de que el secuestrador ha infectado sus navegadores Internet Explorer , Google Chrome o Mozilla Firefox . [24]
Search-daily.com
Search-daily.com es un secuestrador que puede descargar el troyano Zlob . Redirige las búsquedas del usuario a sitios de pornografía . También se sabe que ralentiza el rendimiento de la computadora. [25]
Snap.do
Snap.do (Smartbar desarrollado por Resoft) es un malware potencial, categorizado como secuestrador de navegador y software espía, que hace que los navegadores de Internet redirijan al motor de búsqueda snap.do. Snap.Do se puede descargar manualmente desde el sitio web de Resoft, aunque muchos usuarios están atrapados por sus términos poco éticos. Afecta a Windows y se puede eliminar a través del menú Agregar o quitar programas. Snap.Do también puede descargar muchas barras de herramientas, complementos y complementos maliciosos como DVDVideoSoftTB, General Crawler y Save Valet.
Se sabe que General Crawler, instalado por Snap.do, utiliza un proceso de puerta trasera porque se reinstala y se reactiva cada vez que un usuario afectado lo elimina a través de su (s) navegador (s).
Snap.do desactivará la opción para cambiar su página de inicio y motor de búsqueda predeterminado.
Resoft rastreará la siguiente información:
- El dominio de Internet y la dirección IP desde la que el usuario accede a los Productos Resoft (ubicación, ID, etc.)
- Resolución de pantalla del monitor de la computadora del usuario (pantalla)
- La fecha y hora en que el usuario accede intencional o involuntariamente a los productos Resoft.
- Las páginas que el usuario visita con los Productos Resoft (con o sin conocimiento del uso de productos Resoft, Snap.do)
- Si el usuario se vinculó voluntaria o involuntariamente a un sitio web de Resoft desde otro sitio web de referencia, la dirección de ese sitio
Al utilizar los Productos de Resoft, el usuario da su consentimiento para que sus datos personales se transfieran y procesen tanto dentro como fuera de los Estados Unidos de América.
Al utilizar el sitio web de Resoft, el usuario acepta los usos anteriores de su información de esta manera por parte de Resoft. [26]
Instalador de SourceForge
Un instalador anterior de SourceForge incluía instaladores de programas publicitarios y programas basura. [27]
Uno en particular cambia la configuración del navegador de Firefox, Chrome e Internet Explorer para mostrar el sitio web "istartsurf.com" como la página de inicio. Lo hace cambiando la configuración del registro e instalando software que restablece la configuración si el usuario intenta cambiarla.
El 1 de junio de 2015, SourceForge afirmó que dejaron de combinar "ofertas de terceros" con proyectos de SourceForge no mantenidos. [28]
Vosteran
Vosteran es un secuestrador del navegador que cambia la página de inicio del navegador y el proveedor de búsqueda predeterminado a vosteran.com. Esta infección se incluye esencialmente con otras aplicaciones de terceros. La identidad de Vosteran está protegida por privacyprotect.org de Australia. Vosteran está registrado a través de Whiteknight. [29]
Trovi
Se puede encontrar al instalar "Cheat Engine" o una versión diferente de "VLC Player" en www.oldapps.com, o al descargar aplicaciones de ciertos sitios de software gratuito, como Softonic.com o Download.com.
Trovi utiliza Bing (un motor de búsqueda legítimo) para proporcionar resultados al usuario. Aunque la barra de direcciones cambia a Bing.com cuando se muestran los resultados de la búsqueda, las palabras clave de búsqueda se ejecutan a través de Trovi de todos modos. Trovi anteriormente usaba su propio sitio web para mostrar resultados de búsqueda con el logotipo en la esquina superior izquierda de la página, pero luego cambió a Bing en un intento de engañar a los usuarios más fácilmente. Trovi no es tan letal como antes al eliminar los anuncios de los resultados de búsqueda según el navegador que se esté utilizando, pero aún se considera un secuestrador del navegador.
También controla la configuración de la página de inicio y la página de nueva pestaña para prohibir la posibilidad de volver a cambiarlos a la configuración original. Dependiendo del navegador que se utilice, pueden aparecer anuncios en la página.
Cuando infecta, hace que un navegador redirija desde Google y algunos otros motores de búsqueda a trovi.com. [30]
Trovi se creó utilizando el servicio de creación de barras de herramientas Conduit y se sabe que infecta de manera similar a la barra de herramientas Conduit.
Referencias
- ^ "Corrección de secuestro de navegador y eliminación de secuestro de navegador" . Microsoft . Consultado el 23 de octubre de 2012 .
- ^ a b "Criterios del programa potencialmente no deseado de Malwarebytes" . Malwarebytes .
- ^ "Valoración de las mejores soluciones anti-malware" . Arstechnica. 2009-12-15 . Consultado el 28 de enero de 2014 .
- ^ "Enciclopedia de amenazas - Grayware genérico" . Trend Micro . Consultado el 27 de noviembre de 2012 .
- ^ "Criterios PUP" . Malwarebytes.
- ^ Mook, Nate (6 de septiembre de 2006). "EarthLink criticado por redirecciones de DNS" . betaNews . Consultado el 9 de mayo de 2012 .
- ^ "Mozilla critica a Microsoft por dificultar el cambio a Firefox en Windows 10" . The Verge . Vox Media. 2015-07-30 . Consultado el 18 de octubre de 2015 .
- ^ "PUA.Astromenda" . symantec.com .
- ^ "Cómo quitar Astromenda Search de su navegador" . Lavasoft .
- ^ "Elimina Astromenda, Buzzdock y la barra de herramientas Extended Update de tu navegador" . norton.com .
- ^ "Eliminación de Dregol Search | Guía de eliminación" .
- ^ Deshacerse de Babylon Jay Lee, The Houston Chronicle, 25 de julio de 2012
- ^ Download.com perdón por empaquetar Nmap con crapware The Register 9 de diciembre de 2011
- ^ Una nota de Sean sobre el instalador de Download.com Archivado el 27 de julio de 2012en Wayback Machine Download.com el 7 de diciembre de 2011
- ^ [1]
- ^ "Cómo eliminar Search Protect by Conduit Ltd" . Lavasoft. 2013-06-01 . Consultado el 12 de octubre de 2013 .
- ^ "Combine su software con una barra de herramientas personalizada y comience a ganar dinero" . Conduit Ltd. 2013. Archivado desde el original el 31 de marzo de 2014 . Consultado el 12 de octubre de 2013 .
- ^ "Descargarme II: eliminar los restos de los términos de búsqueda más peligrosos de la Web" . Ars Technica . 2013-08-25 . Consultado el 12 de octubre de 2013 .
- ^ "Arreglando BackgroundContainer.dll dejado por Conduit Ltd" . appuals . Consultado el 20 de marzo de 2015 .
- ^ "Perion completa la adquisición de ClientConnect de Conduit creando un proveedor líder de soluciones digitales para editores" (comunicado de prensa). Tel Aviv, Israel; San Francisco. Business Wire. 2014-01-02 . Consultado el 7 de junio de 2015 .
- ^ "Perion se asocia con Lenovo para crear Lenovo Browser Guard" (Comunicado de prensa). Tel Aviv, Israel; San Francisco. Business Wire. 2014-06-18 . Consultado el 7 de junio de 2015 .
- ^ "Cómo quitar Search Protect By Conduit Ltd" . Lavasoft . Consultado el 3 de diciembre de 2014 .
- ^ "Eliminar el virus" Ads by Coupon Server "(Guía de eliminación)" . Eliminar el virus "Ads by Coupon Server" (Guía de eliminación) . Stelian Pilic . Consultado el 25 de marzo de 2014 .
- ^ "Eliminar istartsurf" . support.kaspersky.com . Kaspersky Lab . Consultado el 24 de junio de 2010 .
- ^ "Secuestrador del navegador" (PDF) . MySearchCorp . Consultado el 3 de julio de 2012 .[ enlace muerto permanente ]
- ^ "Cómo quitar Snap.Do Browser Hijacker" . Lavasoft . Consultado el 4 de agosto de 2014 .
- ^ [2]
- ^ "Las ofertas de terceros se presentarán únicamente con proyectos Opt-In - Blog de la comunidad de SourceForge" . Blog de la comunidad de SourceForge . 2015-06-01 . Consultado el 16 de agosto de 2018 .
- ^ "Eliminar Vosteran" . Como remover. 2014-11-25 . Consultado el 25 de noviembre de 2014 .
- ^ Cómo eliminar fácilmente la redirección de Trovi Search (Guía de ayuda de virus) . malwaretips.com