本例中的“很不错”(www.henbucuo.com)恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页,指向http://1.webete.cn/wenzi15.asp,包括360浏览器,所以所谓360安全浏览器也是使用IE核心,并非真的安全。只要打开浏览器,则会自动转到“很不错”网站:http://www.henbucuo.com/?k15。
参考以往几个“很不错”的例子,可以发现注册表中的添加项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{25U1K3SD-CPP7-2KNT-36VU-04T7EQR82LOV}]
<N/A><oxfgwf.exe> [(Verified)Microsoft Windows Component Publisher]
在第一次遇到“很不错”网站,我还不能肯定 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\下这个项目(字串并不相同)与其有关,不过经过第二次“很不错”网站劫持主页的例子就基本确认了,而且很有趣的是,与第二次的例子相同,该注册表位置下的值愤然都能通过SREng的“Verified",尚不清楚它是怎么躲过检验的。除注册表外,还有一个进程文件c:\windows\system32\dsseng.exe需要结束进程并删除。最后要记得把所有被修改的浏览器快捷方式中的添加的网址的删掉。