Secuestro del navegador

Forma de software no deseado

El secuestro del navegador es una forma de software no deseado que modifica la configuración de un navegador web sin el permiso del usuario, para inyectar publicidad no deseada en el navegador del usuario. Un secuestrador de navegador puede reemplazar la página de inicio , la página de error o el motor de búsqueda existente por uno propio. ^[1] Generalmente se utilizan para forzar visitas a un sitio web en particular , aumentando sus ingresos publicitarios .

Algunos secuestradores de navegador también contienen software espía ; por ejemplo, algunos instalan un software de registro de teclas para recopilar información como detalles bancarios y de autenticación de correo electrónico. Algunos secuestradores de navegador también pueden dañar el registro en los sistemas Windows , a menudo de forma permanente.

Si bien algunos casos de secuestro de navegador se pueden revertir fácilmente, otros casos pueden ser difíciles de revertir. Existen varios paquetes de software para evitar dicha modificación.

Muchos programas de secuestro de navegador se incluyen en paquetes de software que el usuario no eligió y se incluyen como "ofertas" en el instalador de otro programa, a menudo incluidos sin instrucciones de desinstalación ni documentación sobre lo que hacen, y se presentan de una manera que está diseñado para resultar confuso para el usuario medio y engañarlo para que instale software adicional no deseado. ^{[2] [3] [4] [5]}

Existen varios métodos que utilizan los secuestradores de navegador para acceder a un sistema operativo. Los archivos adjuntos de correo electrónico y los archivos descargados a través de sitios web sospechosos y torrents son tácticas comunes que utilizan los secuestradores de navegador. ^{[ cita necesaria ]}

Seguridad

Software de seguridad fraudulento

Algunos programas de seguridad fraudulentos también secuestran la página de inicio y generalmente muestran un mensaje como "¡ADVERTENCIA! ¡Su computadora está infectada con software espía!" para conducir a la página de un proveedor de antispyware. La página de inicio volverá a la configuración normal una vez que el usuario compre su software. Se sabe que programas como WinFixer secuestran la página de inicio del usuario y lo redirigen a otro sitio web.

Páginas de dominio inexistentes

El Sistema de nombres de dominio se consulta cuando un usuario escribe el nombre de un sitio web (por ejemplo, wikipedia.org) y el DNS devuelve la dirección IP del sitio web, si existe. Si un usuario escribe mal el nombre de un sitio web, el DNS devolverá una respuesta de dominio no existente (NXDOMAIN).

En 2006, EarthLink comenzó a redirigir nombres de dominio mal escritos a una página de búsqueda. Esto se hizo interpretando el código de error NXDOMAIN a nivel de servidor. El anuncio generó muchos comentarios negativos y EarthLink ofreció servicios sin esta característica. ^[6]

Operación

Los programas no deseados a menudo no incluyen ninguna señal de que están instalados ni instrucciones de desinstalación o exclusión voluntaria. ^[2]

La mayoría de los programas secuestradores cambian constantemente la configuración de los navegadores, lo que significa que se sobrescriben las opciones del usuario en su propio navegador. Algunos programas antivirus identifican el software de secuestro del navegador como software malicioso y pueden eliminarlo. Algunos programas de escaneo de software espía tienen una función de restauración del navegador para restablecer la configuración normal del navegador del usuario o alertarlo cuando se cambia la página del navegador.

Evitación

A partir de Microsoft Windows 10 , los navegadores web ya no pueden configurarse como predeterminados del usuario sin mayor intervención; El cambio del navegador web predeterminado debe ser realizado manualmente por el usuario desde la página "Aplicaciones predeterminadas" de Configuración, aparentemente para evitar el secuestro del navegador. ^[7]

Ejemplos de secuestradores

Varios secuestradores cambian la página de inicio del navegador, muestran anuncios y/o configuran el motor de búsqueda predeterminado; estos incluyen Astromenda (www.astromenda.com); ^{[8] [9] [10]} Barra de herramientas Preguntar ( ask.com ); ESurf (esurf.biz) Binkiland (binkiland.com); Delta y Claro ; Dregol ; ^[11] Jamenizar ; Chispa mental ; Groovorio ; La página de dulce ; Búsqueda laberíntica ; Search Protect by Conduit junto con search.conduit.com y variantes; Túvaro ; espita ; es.4yendex.com ; Yahoo ; etc.

barra de herramientas de Babylon

Babylon Toolbar es un secuestrador de navegador que cambiará la página de inicio del navegador y establecerá el motor de búsqueda predeterminado en isearch.babylon.com. También es una forma de adware . Muestra anuncios, enlaces patrocinados y resultados de búsqueda pagados falsos. El programa recopilará términos de búsqueda de sus consultas de búsqueda.

El software de traducción de Babylon solicita agregar la barra de herramientas de Babylon durante la instalación. La barra de herramientas también viene incluida como complemento con otras descargas de software. ^[12]

En 2011, el sitio de CNet Download.com comenzó a incluir la barra de herramientas Babylon con paquetes de código abierto como Nmap . Gordon Lyon , el desarrollador de Nmap, estaba molesto por la forma en que se engañaba a los usuarios de su software para que usaran la barra de herramientas. ^[13] El vicepresidente de Download.com, Sean Murphy, se disculpó: El paquete de este software fue un error de nuestra parte y nos disculpamos con las comunidades de usuarios y desarrolladores por el malestar que causó. ^[14]

Existen variantes similares de la barra de herramientas y la página de inicio de búsqueda de Babylon, que incluyen: Bueno Search, Delta Search, Claro Search y Search GOL. Todas estas variantes establecen que son propiedad de Babylon en los términos de servicio.

Todas las barras de herramientas fueron creadas por Montiera. ^[15]

Conducto (protección de búsqueda)

Conduit es un cachorro/secuestrador. Roba información personal y confidencial del usuario y la transfiere a un tercero. Malwarebytes ^[16] ha identificado esta barra de herramientas como programas potencialmente no deseados (PUP) y normalmente se incluye con descargas gratuitas. ^{[17] [18]} Estas barras de herramientas modifican el motor de búsqueda predeterminado del navegador, la página de inicio, la página de nueva pestaña y varias otras configuraciones del navegador. Existen variantes similares de búsqueda de conductos, como trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb .com, junto con otras variantes que se crearon de forma personalizada para el servicio de creación de barras de herramientas que solía ofrecer Conduit Ltd. ^{[ cita necesaria ]}

Un programa llamado "Conduit Search Protect", más conocido como "Search Protect by conduit", puede provocar graves errores en el sistema al desinstalarlo. Pretende proteger la configuración del navegador, pero en realidad bloquea todos los intentos de manipular un navegador a través de la página de configuración; en otras palabras, se asegura de que la configuración maliciosa permanezca sin cambios. Search Protect tiene una opción para cambiar la página de inicio de búsqueda desde la página de inicio de búsqueda "recomendada" Trovi, sin embargo, los usuarios han informado que volvió a cambiar a Trovi después de un período de tiempo. ^{[ cita necesaria ]} El programa de desinstalación de Search Protect puede hacer que Windows no pueda iniciarse porque el archivo de desinstalación no solo elimina sus propios archivos, sino también todos los archivos de inicio en la raíz de la unidad C:. ^{[ cita necesaria ]} y deja un archivo BackGroundContainer.dll en el registro de inicio. ^[19] Conduit está asociado con malware , spyware y adware , ya que las víctimas de este secuestrador han informado sobre ventanas emergentes no deseadas y anuncios de texto incrustados en sitios sin anuncios.

Perion Network Ltd. adquirió el negocio ClientConnect de Conduit a principios de enero de 2014, ^[20] y luego se asoció con Lenovo para crear Lenovo Browser Guard, ^[21] que utiliza componentes de Search Protect.

Las víctimas de redirecciones no deseadas a conduit.com también han informado que han sido atacadas mediante intentos de phishing y han recibido correo no deseado, correo basura, otros mensajes y llamadas telefónicas no deseadas de vendedores telefónicos. Algunas víctimas afirman que las personas que llamaron afirmaron ser Apple, Microsoft o su ISP , y se les dijo que se utilizó información personal en algunas llamadas telefónicas y que algunas de las llamadas se referían a sus hábitos de navegación y su historial de navegación reciente. La información personal utilizada en intentos de phishing puede estar asociada con software espía. ^[22]

istartsurf.com

El secuestrador del navegador istartsurf.com puede reemplazar las herramientas de búsqueda preferidas. Esta infección viaja junto con aplicaciones de terceros y su instalación puede ser silenciosa. Debido a esto, los usuarios afectados no son conscientes de que el secuestrador ha infectado sus navegadores Internet Explorer , Google Chrome o Mozilla Firefox . ^[23]

Búsqueda-daily.com

Search-daily.com es un secuestrador que puede descargar el troyano Zlob . Redirige las búsquedas del usuario a sitios de pornografía . También se sabe que ralentiza el rendimiento de la computadora. ^[24]

Snap.do

Snap.do (Smartbar desarrollado por Resoft) es un malware potencial, categorizado como secuestrador de navegador y software espía, que hace que los navegadores de Internet redirijan al motor de búsqueda snap.do. Snap.Do se puede descargar manualmente desde el sitio web de Resoft, aunque muchos usuarios quedan atrapados por sus términos poco éticos. Afecta a Windows y se puede eliminar a través del menú Agregar o quitar programa. Snap.Do también puede descargar muchas barras de herramientas, complementos y complementos maliciosos como DVDVideoSoftTB, General Crawler y Save Valet.

Se sabe que General Crawler, instalado por Snap.do, utiliza un proceso de puerta trasera porque se reinstala y se vuelve a habilitar cada vez que un usuario afectado lo elimina a través de su(s) navegador(es).

Snap.do desactivará la opción de cambiar su página de inicio y motor de búsqueda predeterminado.

Resoft rastreará la siguiente información:

• El dominio de Internet y la dirección IP desde la que el usuario accede a los Productos Resoft (ubicación, ID, etc.)
• Resolución de pantalla del monitor de la computadora del usuario (display)
• La fecha y hora en que el usuario accede intencionalmente o no a los productos de Resoft
• Las páginas que el usuario visita con los Productos Resoft (con o sin conocimiento del uso de los productos Resoft, Snap.do)
• Si el usuario, voluntaria o involuntariamente, se vincula a un sitio web de Resoft desde otro sitio web de referencia, la dirección de ese sitio

Al utilizar los Productos Resoft, el usuario acepta que sus datos personales se transfieran y procesen tanto dentro como fuera de los Estados Unidos de América.

Al utilizar el sitio web de Resoft, el usuario acepta los usos anteriores de su información de esta manera por parte de Resoft. ^[25]

Instalador de SourceForge

Un instalador anterior de SourceForge incluía instaladores de adware y PUP. ^[26]

Uno en particular cambia la configuración del navegador Firefox, Chrome e Internet Explorer para mostrar el sitio web "istartsurf.com" como página de inicio. Lo hace cambiando la configuración del registro e instalando software que restablece la configuración si el usuario intenta cambiarla.

El 1 de junio de 2015, SourceForge afirmó que dejaron de acoplar "ofertas de terceros" con proyectos de SourceForge no mantenidos. ^[27]

Vosterano

Vosteran es un secuestrador de navegador que cambia la página de inicio y el proveedor de búsqueda predeterminado de un navegador a vosteran.com. Básicamente, esta infección se incluye con otras aplicaciones de terceros. La identidad de Vosteran está protegida por privacidadprotect.org de Australia. Vosteran está registrado a través de Whiteknight. ^[28]

Trovi

Se puede encontrar al instalar "Cheat Engine" o una versión diferente de "VLC Player" en www.oldapps.com, o al descargar aplicaciones de ciertos sitios de software gratuito, como Softonic.com o Download.com.

Trovi utiliza Bing (un motor de búsqueda legítimo) para proporcionar resultados al usuario. Aunque la barra de direcciones cambia a Bing.com cuando se muestran resultados de búsqueda, las palabras clave de búsqueda se ejecutan a través de Trovi de todos modos. Trovi anteriormente usaba su propio sitio web para mostrar resultados de búsqueda con el logo en la esquina superior izquierda de la página, pero luego cambió a Bing en un intento de engañar a los usuarios más fácilmente. Trovi no es tan letal como antes al eliminar los anuncios de los resultados de búsqueda dependiendo del navegador que se esté utilizando, pero todavía se considera un secuestrador de navegador.

También controla la configuración de la página de inicio y de la página de nueva pestaña para prohibir la posibilidad de volver a cambiarlas a la configuración original. Dependiendo del navegador que se utilice, es posible que aparezcan anuncios en la página.

Cuando infecta, hace que el navegador redirija desde Google y otros motores de búsqueda a trovi.com. ^[29]

Trovi se creó utilizando el servicio de creación de barras de herramientas Conduit y se sabe que infecta de manera similar a la barra de herramientas Conduit.

Referencias

1. "Solución y eliminación del secuestro del navegador". Microsoft . Archivado desde el original el 7 de febrero de 2015 . Consultado el 23 de octubre de 2012 .
2. "Criterios de programas potencialmente no deseados de Malwarebytes". Malwarebytes . Archivado desde el original el 9 de abril de 2016 . Consultado el 7 de agosto de 2015 .
3. "Calificación de las mejores soluciones antimalware". Arstechnica. 2009-12-15. Archivado desde el original el 2 de febrero de 2014 . Consultado el 28 de enero de 2014 .
4. "Enciclopedia de amenazas: Grayware genérico". Tendencia Micro. Archivado desde el original el 14 de julio de 2014 . Consultado el 27 de noviembre de 2012 .
5. "Criterios de cachorro". Malwarebytes. Archivado desde el original el 9 de abril de 2016 . Consultado el 6 de enero de 2019 .
6. Mook, Nate (6 de septiembre de 2006). "EarthLink criticado por redireccionamientos de DNS". betaNoticias . Archivado desde el original el 1 de mayo de 2012 . Consultado el 9 de mayo de 2012 .
7. "Mozilla critica a Microsoft por dificultar el cambio a Firefox en Windows 10". El borde . Medios Vox. 2015-07-30. Archivado desde el original el 31 de julio de 2015 . Consultado el 18 de octubre de 2015 .
8. "PUA.Astromenda". Symantec . Archivado desde el original el 8 de septiembre de 2015 . Consultado el 24 de agosto de 2015 .
9. "Cómo eliminar Astromenda Search de su navegador". Lavasoft . Archivado desde el original el 5 de septiembre de 2015 . Consultado el 24 de agosto de 2015 .
10. "Elimine Astromenda, Buzzdock y la barra de herramientas de actualización extendida de su navegador". norton.com . Archivado desde el original el 25 de septiembre de 2015 . Consultado el 24 de agosto de 2015 .
11. "Eliminación de Dregol Search | Guía de eliminación". Archivado desde el original el 10 de abril de 2021 . Consultado el 22 de marzo de 2016 .
12. Deshacerse de Babilonia Archivado el 26 de octubre de 2012 en Wayback Machine Jay Lee, The Houston Chronicle, 25 de julio de 2012
13. Leyden, John. "Download.com lamenta haber incluido Nmap con software basura". www.theregister.com . Archivado desde el original el 11 de enero de 2023 . Consultado el 11 de enero de 2023 .
14. Una nota de Sean sobre el instalador de Download.com Archivado el 27 de julio de 2012 en Wayback Machine Download.com el 7 de diciembre de 2011.
15. "Montiera". montiera.com . Archivado desde el original el 3 de diciembre de 2016 . Consultado el 13 de enero de 2022 .
16. "Cómo eliminar Search Protect de Conduit Ltd". Lavasoft. 2013-06-01. Archivado desde el original el 10 de septiembre de 2014 . Consultado el 12 de octubre de 2013 .
17. "Combine su software con una barra de herramientas personalizada y comience a ganar dinero". Conduit Ltd. 2013. Archivado desde el original el 31 de marzo de 2014 . Consultado el 12 de octubre de 2013 .
18. "Descargarme II: eliminación de los restos de los términos de búsqueda más peligrosos de la Web". Ars Técnica . 2013-08-25. Archivado desde el original el 1 de octubre de 2013 . Consultado el 12 de octubre de 2013 .
19. "Reparación de BackgroundContainer.dll sobrante de Conduit Ltd". apuales. Archivado desde el original el 26 de marzo de 2015 . Consultado el 20 de marzo de 2015 .
20. "Perion completa la adquisición de ClientConnect de Conduit y crea un proveedor líder de soluciones digitales para editores" (Presione soltar). Tel Aviv, Israel; San Francisco. Cable comercial. 2014-01-02. Archivado desde el original el 13 de junio de 2015 . Consultado el 7 de junio de 2015 .
21. "Perion se asocia con Lenovo para crear Lenovo Browser Guard" (Presione soltar). Tel Aviv, Israel; San Francisco. Cable comercial. 2014-06-18. Archivado desde el original el 4 de julio de 2015 . Consultado el 7 de junio de 2015 .
22. "Cómo eliminar Search Protect de Conduit Ltd". Lavasoft. Archivado desde el original el 2 de diciembre de 2014 . Consultado el 3 de diciembre de 2014 .
23. "Eliminar istartsurf". soporte.kaspersky.com . Laboratorio Kaspersky . Archivado desde el original el 30 de septiembre de 2013 . Consultado el 24 de junio de 2010 .
24. "Secuestrador de navegador". asiente. 31 de julio de 2023.
25. "Cómo eliminar el secuestrador de navegador Snap.Do". Lavasoft. Archivado desde el original el 8 de agosto de 2014 . Consultado el 4 de agosto de 2014 .
26. "istartsurf.com - secuestro del navegador - página de inicio en todos los navegadores | Endpoint SWAT: proteja la comunidad de Endpoint". comunidad.broadcom.com . Archivado desde el original el 11 de enero de 2023 . Consultado el 11 de enero de 2023 .
27. "Las ofertas de terceros se presentarán únicamente con proyectos de participación voluntaria - Blog de la comunidad de SourceForge". Blog de la comunidad de SourceForge . 2015-06-01. Archivado desde el original el 11 de agosto de 2018 . Consultado el 16 de agosto de 2018 .
28. "Eliminar Vosteran". Como remover. 2014-11-25. Archivado desde el original el 13 de febrero de 2015 . Consultado el 25 de noviembre de 2014 .
29. "Cómo eliminar Trovi.com y Trovi Search de Mac o Windows". 2018-09-07. Archivado desde el original el 5 de diciembre de 2022 . Consultado el 11 de enero de 2023 .