记传奇私服浏览器劫持的处置方案

0x01 前言

朋友用我的台式电脑玩传奇私服游戏,下载了有几十个传奇私服客户端,传奇老玩家都知道现在的传奇私服客户端和一些辅助外挂等都会带有浏览器劫持程序,这让我们在打开找传奇私服相关网站时都会出现跳转到其它网站的情况,比如在浏览器中输入http://www.zhaosf.com,结果却跳转到了http://www.7422.xyz

常见的浏览器劫持方式有: hosts文件劫持,快捷方式文件劫持,网络运营商DNS劫持,IE工具栏、组策略、注册表,WMI脚本以及各种驱动类劫持等等。

0x02 问题查找

这里因朋友下载的客户端太多,而且是被劫持了以后才告诉我,所以无法通过技术手段来分析“劫持程序”原理,只能通过手动方式查找其劫持原因。

这里我先用了360杀毒和系统急救箱对C盘、易感染项以及系统关键设置进行了扫描,确定已清除了其它传奇客户端的大部分驱动类劫持程序。

但经过重复几次查杀并重启系统后发现,虽然驱动类劫持程序杀干净了,但访问网站时还是会跳转 而且多次访问找传奇私服的各种网站时发现浏览器的左下角都会出现“正在解析代理”字样

然后查看我们浏览器代理设置发现“自动检测设置”和“使用自动配置脚本”两项都已经被勾选上了,并指定了一个URL: https://115.231.234.21:9770/rules2.pac

0x03 处置方案

我们找到其劫持的原因就是“使用自动配置脚本”,但我们尝试在浏览器里的代理设置取消这个选项时发现怎么都取消不掉,取消后又会自动勾选上,经过后期测试发现是“使用自动配置脚本”选项的对应注册表项权限问题。

注: 通过其它电脑查看这个对应的注册表项,默认是具备完全控制权限的,可能是传奇私服客户端的劫持程序在运行时修改了我们的注册表项权限。

找到“使用自动配置脚本”对应注册表位置并给予完全控制权限,删除AutoConfigURL即可,或者可以在浏览器代理设置中取消“使用自动配置脚本”选项,然后重启计算机系统。

Windows7注册表位置:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings
  • reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v AutoConfigURL /f

0x04 事后总结

目前大部分传奇私服客户端的驱动劫持程序都可以用360系统急救箱直接清除的。而此次遇到的这个浏览器劫持程序在启动后会自动开启IE浏览器的“自动检测设置”和“使用自动配置脚本”选项,并将其对应Internet Explorer注册表项的完全控制权限给取消掉了,所以我们也就无法直接在浏览器的代理设置处取消“使用自动配置脚本”选项,但只需给予Internet Explorer注册表项的完全控制权限就好了,如果大家以后有遇到此类劫持的时候可以试一试,有兴趣的也可以去深入研究一下。