安全專家談：玩遊戲後IE瀏覽器首頁被篡□改

近日接到用戶反饋，IE首頁總是被□　改。該現象一般是用戶不知情的情●況下主動或被動地運行了某些應用程序後進◥行的修改，可以是九霄明白隨系統啟動而啟動，也可以是隨某個第三方應用程一旦你飞升神界序啟動而啟動，甚至是做一些簡單的欺騙。

本文旨在介紹一種常見欺騙玩法。

在本案例中◥我們首先發現在Internet屬性╳中將首頁設置為空白頁後依然打開某導航頁面。

在本案力量例中出現該現象是由於一個註冊表鍵值定義導致，詳情參考：http://security.ccidnet.com/art/1099/20090513/1766611_1.html

之後手工清理註冊表或★使用Papa的工具清理後便可以正常打開空白的IE首頁，但是每當運行桌面上的遊戲後便又改回去△了。

進入遊戲的目錄後以下兩個文件●引起了我們的註意：

將d3dx10.dll文件改名後運行Heroe.exe出現如下報錯，並無條◥件彈出下載網站鏈接：

看到這↘個現象後基本原因上就很明朗了，以下是簡單分》析：

1.創建遊戲快捷方式指向虛假的遊戲主程序Heroe.exe；

2.而實際上d3dx10.dll為真實的ξ遊戲主程序；

3.當Heroe.exe運行後會修改IE首ζ　頁等設置，並將d3dx10.dll設置為隱藏屬性並改名為话遊戲文件名Hero.exe；

4.在Hero.exe正常結束(用戶在遊戲中正常執行〓的退出操作)後Heroe.exe會將Hero.exe改名回d3dx10.dll；

5.如Heroe.exe運行後找不到真正的「遊戲主程序d3dx10.dll或Hero.exe時，彈出窗口要←求用戶訪問單擊遊戲下載網站hxxp://www.newyx.net

處理方案：

1.取消d3dx10.dll的隱反扑太猛烈了藏屬性並改名為Hero.exe；

2.將桌面遊戲快捷方式所指向的文件不愿意发下灵魂誓言╲修改為真實的遊戲主▃程序文件№名Hero.exe；

3.只用Papa之前介紹過的卐方法處理IE首頁被改的問題，詳情觀看http://security.ccidnet.com/art/1099/20090513/1766611_1.html。

【註：基於安全考慮，文中部分網絡鏈Ψ 接"http"被替換為"hxxp"，特此說明。】

【資料來源：金山毒霸社區。作者papa現為金山客服工程師。】