軟體教學-Qone8綁架瀏覽器首頁的惡意流氓軟體的完美刪除與移除

[dropcap]古[/dropcap]人常說夜半時分頭昏昏腦脹脹容易做錯事,這句千古名言肯定是真。剛剛不小心闔上幾個眼,就被一個惹人厭的流氓惡意軟體給黏上身,還是業界中鼎鼎大名的瀏覽器首頁綁架強制垃圾廣告程式:「Qone8」。

自從好幾根手指頭數得出來的年月以前,曾上過 FlashGet 假選項真廣告的一次當後,記憶中便再不曾沾上過這類惡意程式,不過這樣的優良紀錄就在今夜洗黑了 Orz。

這次因為臨時需要一套很稀有的工具程式,在網路上大量搜尋時著了此道。甚至讓我連是在下載還是安裝時發生的都完全沒印象。總之,Qones8 就這樣悄悄地佔據我的 Microsoft IE 與 Google Chrome 這兩套瀏覽器,被更改了設定,被裝上了擴充套件,甚至連首頁都被綁架到惡意網站。

一般來說,網路上都找得到軟體商提供的簡易木馬與後門清除程序,如果不想自己親自動手移除,你倒是可以考慮安裝這類軟體。不過我個人不甚喜歡這些第三方軟體,所以在自己檢查過系統後,發現 Qone8 可真還佛心來著,竟然提供卸載程式(Uninstall)。不囉嗦,直接移除再說。至於能不能移除乾淨,應該也不用我多說吧。

卸載(移除)軟體步驟:

首先,開啟「程式和功能(或稱新增移除程式)」介面[1]。方法如下圖一所示,在 Windows 8 的左下角視窗 Logo 上,按下滑鼠右鍵,開啟快速連結功能表。或是透過傳統的控制台呼叫方式達成[2]。

windows 8 program install

圖一、Windows 8 工具列快捷選單,快速連結功能表。

接著,點選快速連結功能表中的「程式和功能」選項,開啟圖二所示的系統程式管理工具。

你將在圖二中找到一個名為「qone8 unistaller」的程式。從小寫開頭的英文字,就能知道他藏的有多低調。

qone8 uninstaller windows 8

圖二、解除安裝或變更程式選單

執行移除命令後,會出現 Qone8 的對話視窗,你可以在下面圖三至圖六中看到連續的軟體操作。最後,移除工具便會將 Qone8 自系統解除安裝。

修正瀏覽器遭綁架頁面

雖然你現在解除安裝 Qone8,但是凡走過必留下痕跡,導致有許多垃圾檔案與數據變更還是殘留在我們的系統內部。例如 Microsoft Internet Explore 瀏覽器以及 Google Chrome 瀏覽器,仍處於被 Qone8 綁架頁面的狀態。

請參考圖八所示,有個簡單方法就是直接在瀏覽器圖示上點選滑鼠右鍵開啟工作表,並在 Google Chrome 軟體圖示上按壓滑鼠右鍵,開啟軟體功能表,再點選內容。

windows 8 ie and chrome property

圖八、Google Chrome 瀏覽器屬性變更。

請參考圖九所示,螢幕上會跳出「Google Chrome – 內容」視窗畫面,我們從圖中可以發現有兩個欄位是值得我們關注的,分別是「目標」與「開始位置」,欄位中存放的是 Google Chrome 瀏覽器的執行檔位置,用於呼叫 Chrome 瀏覽器主程式(IE 瀏覽器也是採取相同方式)。

只要一被 Qone8 入侵系統,瀏覽器執行檔位置將會被變更為「C:\Program Files\Internet Explorer\iexplore.exe http://start qone8 com/type=sc&ts=85377&from=smt&uid=VEDFOLNIR.com_IS_BEST…」的長字串狀態,而這就是被綁架首頁的真面目 👿 。

前半段的「C:\Program Files\Internet Explorer\iexplore.exe」是原始的正確呼叫指令,後半段的「http://start qone8 com/type=sc&ts=85377&from=smt&uid=VEDFOLNIR.com_IS_BEST…」則是惡意廣告的網址,用以變更瀏覽器的啟動狀態。該惡意字串中甚至包含用戶辨識碼,我猜測背後有廣告聯盟的獲利模式存在,才有網站或開發者想讓廣大的網路用戶被迫中獎。(廣告網址被我修改過才放上來,免得又幫人打廣告。)

因此,我們只要將被變更過的惡意網址從「目標」與「開始位置」中分別移除掉即可,就能還給瀏覽器一個乾淨的初始狀態。

windows 8 ie and chrome property form

圖九,Google Chrome 瀏覽器檔案屬性內容。

如果你堅持原汁原味,底下兩條 IE 與 Chrome 的原始位置資訊可供你們替換,分別是:

  1. IE 的目標位址是「”C:\Program Files\Internet Explorer\iexplore.exe”」,而開始位置為「%HOMEDRIVE%%HOMEPATH%」。
  2. Google Chrome 的目標位址是「”C:\Program Files (x86)\Google\Chrome\Application\chrome.exe”」,開始位置為「”C:\Program Files (x86)\Google\Chrome\Application”」。

修改預設搜尋引擎:

由於 Google Chrome 極佳的同步處裡功能,讓 Chrome 的使用者資訊與擴充工具可被完整備份到雲端。因此,在我們被 Qone8 入侵後,這些惡意資訊也會被同步更新並被記憶在雲端之上。為免夜長夢多,接下來我們得自己動手刪掉這些資訊。

請參考圖十所示,在 Chrome 設定頁面中有一項「搜尋」選項,用來設定透過網址列進行搜尋時要使用哪個搜尋引擎。一般預設情況下都是 Google,不過魔鬼就藏在細節中,讓我們開啟「管理搜尋引擎」按鈕繼續看下去。

Span-Clearning-Qone8-Delta-Homes-on-Google-Chrome-Setup-Seach-Engine-Vedfolnir

圖十,搜尋 – 管理搜尋引擎。

請參考圖十一所示,在新開啟的「搜尋引擎」視窗中,我們可以揪出這次惡意軟體的小惡魔,已經被植入預設的搜尋引擎列表中,在沒有手動刪除的情況下,往後不管你更換多少台電腦,Qone8總會如影隨形跟著你,所以,請輕輕的將滑鼠游標移動到 Qone8 上頭,按下刪除吧。(Delta-Homes 是另一家惡意程式…… 翻桌。)

Span-Clearning-Qone8-Delta-Homes-on-Google-Chrome-Vedfolnir

圖十一,預設搜尋設定。

進階的資料移除:

經過上面提到的軟體卸載與惡意網址的移除後,我試著用 Windows 提供的強大登陸編輯程式(Regedit)進行分析,發現還是殘留一些廢物資訊在系統中。這些垃圾資訊對系統穩定度影響不大,可以先不用去管他。

但是如果你非要殺他個乾乾淨淨,我有兩點建議可以提供給大家:

  1. 同時按壓「Windows 標誌鍵[3]」與「R鍵」,呼叫出「執行」視窗,在視窗中的文字串輸入「Regedit」,藉以開啟登錄編輯程式。接著,在登陸編輯程式的功能表上點選「編輯」中的「尋找」(Ctrl+F快速組合鍵),搜尋「qone8」字串,將所有出現的相關資料夾、機碼、字串,通通刪除。但是記得在刪除前要先確認該字串的目的,我個人建議可以找有一定電腦能力的朋友幫忙。
  2. 搜尋電腦目錄下,所有關於 Qone8 字串的資料夾與檔案,並移除之(快速鍵:Windows 標誌鍵 + F 鍵)。例如我在自己的電腦中,就找到「C:\Users\username\AppData\Roaming\qone8」,直接整個移除「qone8」資料夾即可(AppData 是隱藏資料夾,記得開啟顯示,或是直接輸入對應檔案位置)。

結語:

如果 Qone8 只是為了擴展知名度,在創業初期採用強迫安裝的方式,我倒還能接受,只要他們還是做正當生意。

但是我在開新系統玩過他們的網站後,發現它們家到處都是惡意軟體與病毒,很明顯這是一間透過竊取資料與操控遠端電腦等技術來達成他們的某些目的,玩的是 Cracker 破壞者的那套短線操作手法。因此,如果你被這些惡意網站與軟體沾上,請盡快找技術人員提供協助,並且不要繼續在該電腦上輸入隱私資料,以上。

延伸閱讀:

[1] 微軟(Microsoft)的作業系統(Operation System)在 XP 以前,都稱為新增移除程式;在 Vista 之後,則更名為「程式和功能」,但都同樣藏在控制台的程式集底下。

[2] 如果不清楚程式和功能(新增移除程式)的管理工具呼叫方式也不要緊,可同時按壓「Windows 標誌鍵[3]」與「X鍵」,亦可呼叫出「快速連結功能表(如圖一所示)」,再進行選取。或者,同時按壓「微軟鍵」與「R鍵」,呼叫「執行」介面,在文字串中輸入「Control」執行,亦可呼叫出「控制台」,再從中找出程式集,而「程式和功能」便在裡頭。

[3] Windows 標誌鍵(Windows Key,我一般慣稱微軟鍵)是在實體鍵盤的左下方,位在 Ctrl 與 Alt 之間,有小微軟旗幟的那顆按鍵:「Windows-Logo-Keyboard-Key-Vedfolnir」。

您可能也會喜歡…