istartsurf GoodTab Blank-Page Fast-Startブラウザハイジャッカーをインストールしてみた : 無題なログ

istartsurf GoodTab Blank-Page Fast-Startブラウザハイジャッカーをインストールしてみた

中東イスラエルのアドウェアネットワークを標榜してる中国 Elex が提供してるブラウザハイジャッカー軍団の１つ

istartsurf （istartsurf.com）

を広告インストーラな実行ファイルから同意の上でインストールし、内部的な挙動を調査してみました。

istartsurf の同時導入提案で故意に右ボタン（＝同意）を押してインストール♪

《1》 IEブラウザの「新しいタブ」をハイジャックする役目を持ったブラウザヘルパーオブジェクトです。

URLアドレス about:blank が新しいタブ「Blank Page」に固定される

> GoodTab Class
> C:\Program Files\MiuiTab\SupTab.dll

《2》検索キーワードを収集も兼ねてブラウザの検索エンジン（検索プロバイダー）を乗っ取ります。あと、元から登録されてる検索エンジンの設定を綺麗に改ざんする悪行まで…。

反転選択してある「e」「Google」「istartsurf」が新規追加されたもの
元からある「Google」「Yahoo! JAPAN」は改ざんで istartsurf に強制変更

《3》 [インターネットオプション]の全般タブで設定できる起動時に表示されるホームページを「istartsurf」に変更します。

《4》デスクトップ、スタートメニュー、タスクバーらへんにある Internet Explorer の起動用ショートカットを改ざんして、起動用パラメータの後ろに特定のURLアドレス「istartsurf」を追加する場合があります。

拡張機能に「Default SearchProtected」の登録を試みますが、Chromeストアにない勝手拡張だから登録されない？

IEと同じように、検索エンジン、起動時のホームページ、ショートカットを変更があります。

Firefoxブラウザの「新しいタブ」をハイジャックする役目として、拡張機能に「deskCut」（作成者 lightningnewtab[.]com）を登録し、新しいタブ「Fast Start」が開きます。

無関係なFirefoxの拡張機能と故意に同じ名前にしてバレないようにしてる？

IEと同じように、検索エンジン、起動時のホームページ、ショートカットを変更があります。

マイクロソフトのウイルス検出名「Win32/Wysotot」というトロイの木馬である不審なWindowsサービスを登録します。

ブラウザハイジャッカーの削除を妨害する目的とともに、中国のアドウェアネットワークと接続する常駐プログラムとしてボットネットに組み込まれます。

> IHProtect Service
> C:\Program Files\MiuiTab\ProtectService.exe

> WindowsMangerProtect Service
> C:\ProgramData\7WinManPro7\ProtectWindowsManager.exe

《1》 Windowsサービスを強制的に削除する（検索）

スタートメニュー → [すべてのプログラム] → [アクセサリ] → [コマンドプロンプト] 上で右クリックしてメニューから「管理者として実行」する

sc stop "WindowsMangerProtect"
sc delete "WindowsMangerProtect"

sc stop "IHProtect Service"
sc delete "IHProtect Service"

《2》ブラウザをすべて終了させておいて、ブラウザの「新しいタブ」乗っ取る系プログラムを削除する

> C:\Program Files\MiuiTab\uninstall.exe

《3》コントロールパネル「プログラムと機能」からアンインストールする

> istartsurf uninstall

> C:\Users\[ユーザー名]\AppData\Roaming\istartsurf\UninstallManager.exe

Uninstall Select component to remove. Be careful to select!

すべてにチェックマークを入れて、ウィンドウ右下の左側にある[continue]リンクをポチッとな。