OBS! Sidan uppdateras inte längre!
Mycket har hänt sedan 2003 när jag startade denna hemsidan. Hotbilden har blivit mer komplex och pga tidsbrist och andra faktorer hinner jag inte med den längre.
Istället rekommenderar jag varmt ett besök och medlemsskap hos Svenska Antispywareforums, där du kan få hjälp med det mesta i datordjungeln.Mvh Monica
2006-09-13
Kapade startsidor - ett växande problem
Har din startsida i webbläsaren plötsligt ändrats till någon skum sökmotor eller porrsida? Har det börjat dyka upp obskyra favoriter som du absolut inte sparat själv? Då är du inte ensam. Enligt den spanska organisationen Asociación de Internautas drabbas ungefär var tredje internetanvändare av kapningar.
Att få tillbaka sin vanliga startsida är ofta förknippat med en hel del trixande. Ibland behövs experthjälp för att få datorn ren. Ofta kommer smittan tillbaka när man till sist, efter stor ansträngning och möda, trodde att datorn var ren. Vissa personer går tom så långt att de formaterar om hårddisken. Kapningar är ingen rolig historia!
Hur kunde jag bli drabbad?
Det finns flera olika sätt att bli smittad, bland de vanligaste kan nämnas:
- Genom att installera programvara som ändrar dina inställningar i webbläsaren. Detta kan ske med kommersiella program, men är ännu vanligare bland gratisprogram och program som finansieras med reklam, sk adware.
- Genom att besöka en webbsida som innehåller ActiveX-komponenter som gör att dina webbläsarinställningar ändras utan att du är medveten om det.
- Genom att besöka en webbsida som övertalar dig att ändra dina webbläsarinställningar, vanligen när man hämtar gratisprogram. När du accepterar ändras webbläsarens inställningar. Även om många sidor talar om vad som kommer att ske så är det ofta finstilt och svårläst.
Vad sker i datorn vid en kapning?
Kidnapparna använder olika tekniker. Vissa tar bort internet-alternativen i verktygsmenyn på webbläsaren och i kontrollpanelen så att startsidan och andra inställningar inte går att ändra tillbaka. Andra ändrar registervärdena så att den nya, ofrivilliga startsidan kommer upp varje gång du startar webbläsaren. Enda sättet att gå in själv i registret och ändra. Till sist installerar vissa ett program som körs varje gång du startar om datorn. I detta fallet hjälper inte registerrensningen eftersom den ofrivilliga startsidan läggs in på nytt vid varje uppstart.
Prevention är A & O
Det går att undvika att bli smittad:
1) Det första tipset jag vill nämna är att byta ut Internet Explorer till en annan webbläsare. Den enkla anledningen är att startsidekapningar uteslutande sker i denna webbläsaren. Som fullgoda alternativ till Internet Explorer finns Mozilla, Firefox och Opera. (Jämför gärna de tre graferna nedan avseende kritiska brister i webbläsarna Internet Explorer, Firefox och Opera).
2) Om du måste fortsätta att använda Internet Explorer är det viktigt att du säkerställer läsaren så gott det går.
a) genom att besöka Windows Update för att ha de senaste uppdateringarna för webbläsaren.
b) Ersätt Microsofts Java Virtual Machine med Suns dito. Det är flera kidnappare som utnyttjar säkerhetshål i Microsoft Java VM. Se sedan till att Sun Java JRE är inställd på att fungera med Internet Explorer.
c) Öppna Internet-Alternativ i kontrollpanelen. Under fliken säkerhet, markera Internet-jordgloben och klicka på Anpassad nivå. Ställ in enligt följande:
ActiveX-kontroller och plug-in-program:
- Hämta signerade ActiveX-kontroller (Fråga)
- Hämta osignerade ActiveX-kontroller (Inaktivera)
- Initiera och kör skript på ActiveX-kontroller som inte är säkra (Inaktivera)
- Kör ActiveX-kontroller och plugin-program (Aktivera)
- Hämta signerade ActiveX-kontroller (Fråga)
Diverse:
- Anslut till datakällor över domäner (Inaktivera)
- Drag och släpp eller kopiera och klistra in filer (Fråga)
- Installera objekt på skrivbordet (Fråga)
- Hämta program och filer från en IFRAME (Fråga)
- Navigera mellan domäner i underordnade ramar (Fråga)
- Behörighet till kanal med programvaror (Hög säkerhet)
- Spara användardata (Inaktivera)
Skript:
- Tillåt inklistringsåtgärder via skript (Fråga)
- Kör skript på Java-appletar (Fråga)
3) Hämta programmet Spyware blaster som är gratis. Programmet stoppar oönskade ActiveX-kontroller och förhindrar därför många av kaparna. Det fyller även andra funktioner, som att blockera spioncookies. När det väl är installerat så jobbar det och skyddar i bakgrunden, det enda som är viktigt att tänka på är att regelbundet uppdatera med nya referensfiler.
4) Kombinera Spyware blaster ovan med Ad-Aware och SpyBot S&D. Även dessa är gratis och hittar effektivt spionkomponenter på datorn. Precis som med Spyware blaster är det viktigt är att med jämna mellanrum ladda ner deras "Reference Files" eftersom det tillkommer nytt skräp varje dag.
5) Var noga och kolla innan du installerar program så att de inte innehåller spioner. Det gäller framför allt freeware och shareware.Gör t ex en sökning hos Google. Du kan ju testa själv ovan. Skriv in Kazaa spyware, bocka för Web och klicka på Sök och se vad som händer - ingen rolig läsning!
6) En sista preventiv åtgärd är att se till att avaktivera förhandsgranskningen i mailprogrammen Outlook/Outlook Express. Detta förhindrar att skadliga script kan köras. Instruktioner på hur du gör finns här.
Och om oturen är framme?
Om varken Ad-aware, Spybot eller Spyware blaster hjälper så finns det ytterligare några verktyg att ta till. Det skall tilläggas att en del fula kapare förhindrar besök och nerladdning på dessa sidor, det gäller även tipsen jag kommer med nedan. Ja, så illa är det. Be då någon om hjälp som kan ladda ner programmen och bränna dem på en cd till dig.
Tipsen nedan används på egen risk eftersom de bl a innebär ändringar i registret. Vid minsta osäkerhet, be någon kunnig person om hjälp!
1) Har du drabbats av de sk CoolWebSearch-varianterna kan du hämta ett program som heter CWShedder. Instruktioner på hur du använder programmet finns hos BleepingComputer.com. Sidan samt programmet är på engelska.
2) Har du råkat ut för att dina internet-inställningar har försvunnit? Testa med följande:
Gör en sökning efter filen "control.ini" (utan citationstecknen). Start-> Sök -> Alla filer och mappar. Öppna filen i Notepad (Anteckningar). Den kommer att se ut ungefär så här i början på filen:
[don't load]
inetcpl.cpl=yes
Radera "inetcpl.cpl=yes"-linjen under "[don't load]". Spara och stäng dokumentet, testa sedan genom att öppna kontrollpanelen igen. Om du fortfarande inte hittar "Internet-alternativ", så starta om datorn. Kolla igen om "Internet-alternativ" har lagts till i kontrollpanelen. Den bör finnas där nu.
Om du använder Windows 2000 eller XP som operativsystem, måste du ändra i registret för att ändra i control.ini.
Start -> Kör -> skriv in "regedit" utan citationstecken och klicka på OK. Navigera genom de olika registernycklarna tills du hittar HKEY_CURRENT_USER\Control Panel\don't load\. Kolla om inetcpl.cpl finns med. Om du hittar den, så radera raden.
3) Ett utmärkt verktyg att ta till vid kapningar är hijack.this, utarbetat av holländaren Merijin. Programmet är även användbart vid andra typer av smittor. Det kan hämtas hos Merijin, hos Major Geeks samt på ett flertal andra ställen. TomCoyote.com har utmärkta instruktioner på engelska på hur programmet fungerar.
Hijack.this skannar bl a av registret för att se vilka aktiva processer som är igång i datorn. En loggfil skapas som man kan posta i relevanta forum för att få vidare hjälp med rensningen av datorn. OBS! Rensa inget själv, utan fråga om hjälp i ett forum. Det finns flera bra forum att posta loggen i:
På svenska finns t ex forumet Svenska AntiSpywareForums. Forumet skapades av frivilliga eldsjälar sen LavaSoft lade ner supporten för gratisversionen av programmet Ad-aware. När det gäller Ad-awares svenska forum så är det givetvis en förutsättning att du använder Ad-aware och postar en logg från det programmet i forumet. Här finns instruktionerna vad som gäller innan du postar loggar.
Ytterligare ett forum på svenska är The Antispyware page. Fler finns givetvis på engelska, ett av de bästa i mitt tycke är TomCoyotes.
Var noga och läs innan vad som gäller för att posta i respektive forum. De flesta kräver att du registrerar dig som medlem, och det kan det ju vara värt.
Ibland tar det tid att få svar, ofta är det människor som ställer upp på sin fritid för att hjälpa just dig. Välj bara ett forum att posta i. Processen med att rensa din dator kommer med all säkerhet innebära flera körningar av hijack.this och då blir det ohållbart att posta nya loggar i flera forum.
Lycka till!
Skillnaden är stor mellan de tre läsarnas kritiska sårbarhet. Jämför också antalet varningar (advisories) som säkerhetsföretaget Secunia har utfärdat för de tre läsarna. Gissa varför jag surfar med Firefox?
Sidan skapades 2005-01-13, senast uppdaterad 2006-09-13 12:50