“Browser Helper Object”简称
BHO,是一种随因特网浏览器(比如IE)的每次启动而自动执行的小程序。通常情况下,一个BHO文件是由其他软件安装到你的系统里的。比如:Go!Zilla,一个具有下载功能的玩意,其安装了一个由Radiate (formerly Aureate Media)创建的BHO文件,这个BHO的功能是追踪你上网冲浪时所遇到的众多网页广告。
很自然的产生一个疑问,BHO文件们到底能干些什么呢??技术性的回答是:几乎所有事情都能干,但通常的一些BHO会有利于你浏览因特网。当然,也有相当一部分BHO被人叫做:广告程序或者间谍程序;它们通常干一些象监视上网者所浏览的网址并将记录的数据报告给BHO的创建者的勾当。
它们也会与其他运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,通常阻止了正常浏览的进行。
它们也会与其他运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,通常阻止了正常浏览的进行。
这里有一个很好的小工具BHODemon,用来查看或者禁止可能被安装到你系统里的BHO文件,下载地址:
http://www.spywareinfo.com/downloads/bhod/
列表中的被标记为 X的BHO文件是被证实为间谍软件或者被偷偷强行安装的文件,标记为 L的是合法的项目,标记为 O的是具有争议的文件,标记为 ?的是一些未知的文件。
http://www.spywareinfo.com/downloads/bhod/
列表中的被标记为 X的BHO文件是被证实为间谍软件或者被偷偷强行安装的文件,标记为 L的是合法的项目,标记为 O的是具有争议的文件,标记为 ?的是一些未知的文件。
出于这些兴趣,软件"Startuplist" 和 "Hijack This!"的开发者
Merijn Bellekom先生,又开发了一个工具BHOList.exe(下载地址:
http://www.merijn.org/files/bholist.zip)。该工具下载并以列表的形式显示了一些搜集的BHO信息。
假如你碰上一些被标记为“unknown”的项目或者遇见不在列表中的BHO,请联系 Pieter 或 TonyKlein,请尽量提供所有你掌握的细节信息,比如附上BHODemon的报告 或者 一个“ Hijack This ”的扫描log,当然有可能的话提供那个文件样本。
假如你碰上一些被标记为“unknown”的项目或者遇见不在列表中的BHO,请联系 Pieter 或 TonyKlein,请尽量提供所有你掌握的细节信息,比如附上BHODemon的报告 或者 一个“ Hijack This ”的扫描log,当然有可能的话提供那个文件样本。
注意:臭名昭著的
LOP软件现在可以随机创建浏览器插件,仅能依据文件名进行辨认。
它们有的看起来就象下面这些:
{1A35419C-7394-4989-B3C5-6189EB06BD66} - ssshwckfrngl.dll
or
{9633C13D-85BB-4271-83C1-F22BC2938585} - llbrquistglc.dll
or
{DCF6B0CF-5312-42B2-B783-971C107F8B91} - kstilypsm.dll
它们有的看起来就象下面这些:
{1A35419C-7394-4989-B3C5-6189EB06BD66} - ssshwckfrngl.dll
or
{9633C13D-85BB-4271-83C1-F22BC2938585} - llbrquistglc.dll
or
{DCF6B0CF-5312-42B2-B783-971C107F8B91} - kstilypsm.dll
由于这些随机组合的名称可以达到数以千记,所以我将不再将LOP的 BHO文件名添加到列表里了。
提请需要注意那些名字异样的未知BHO,假如它们名称不在软件的列表里,同时它们的文件存在于程序数据(Application Data)目录下的话,就很有可能是LOP产生的BHO。
类似的还有 WurldMedia释放的浏览器插件,下面是一些随机产生并被确认的由WurldMedia释放的BHO
{8A79D959-1251-41CC-B29D-4CF8B675D41E}: toalundg.dll
{BFAE1995-4CAC-40D0-B029-42CEC449E838}: ecule.dll
提请需要注意那些名字异样的未知BHO,假如它们名称不在软件的列表里,同时它们的文件存在于程序数据(Application Data)目录下的话,就很有可能是LOP产生的BHO。
类似的还有 WurldMedia释放的浏览器插件,下面是一些随机产生并被确认的由WurldMedia释放的BHO
{8A79D959-1251-41CC-B29D-4CF8B675D41E}: toalundg.dll
{BFAE1995-4CAC-40D0-B029-42CEC449E838}: ecule.dll
还有以下这些:
{E0634852-5A3C-4E35-954C-17A0622F0BF8}: m030206pohs.dll
{6270DFC1-EDFB-4BC4-BE8C-842740BA290B}: MOAA030425S.DLL
{BFBAE8DA-9920-4166-A5A4-EBD03F59ABF5}: mo030414s.dll
{98D9A225-9D35-4F98-A65B-85FC9A21C0E4}: MO030414S.DLL
{E0634852-5A3C-4E35-954C-17A0622F0BF8}: m030206pohs.dll
{6270DFC1-EDFB-4BC4-BE8C-842740BA290B}: MOAA030425S.DLL
{BFBAE8DA-9920-4166-A5A4-EBD03F59ABF5}: mo030414s.dll
{98D9A225-9D35-4F98-A65B-85FC9A21C0E4}: MO030414S.DLL
根据
Andrew Clover的研究,这些各自的完全和部分随机产生的文件名和class IDs;每次他安装后都会得到新的文件名或ID。然而有些BHO其内部名称仍然相同,比如('TChk.TChkBHO'),所以很幸运仍然能被检测到,尽管不仅仅单独依据文件名来检测。
有很多随机的BHO被 Adware.GPCasino aka TalkStocks Trojan等释放安装。
下面这些被叫做IEloader Module的BHO是在系统的SYSTEM(32)目录下被发现的:
{4A2D7B5F-4E9E-839C-AC5C-768688C7DE8B}: itstgblg.dll
{AF7D42F2-29BD-D89C-3FC8-C64D7AF6B3AC}: qhgimxyy.dll
{CB3B59F7-43E6-A0D6-956F-3673E9738AA6}: ntmccdds.dll
有很多随机的BHO被 Adware.GPCasino aka TalkStocks Trojan等释放安装。
下面这些被叫做IEloader Module的BHO是在系统的SYSTEM(32)目录下被发现的:
{4A2D7B5F-4E9E-839C-AC5C-768688C7DE8B}: itstgblg.dll
{AF7D42F2-29BD-D89C-3FC8-C64D7AF6B3AC}: qhgimxyy.dll
{CB3B59F7-43E6-A0D6-956F-3673E9738AA6}: ntmccdds.dll
在这里感谢Andrew Clover先生,他的页面(
http://217.115.153.73/parasite/)提供了很多描述BHO的连接,同样感谢
Cexx.org,另一个极好的站点,它是研究间谍软件,广告程序和其他不被期望安装的软件,以及提供解决方案的站点。
这里附上相关的微软的一片文章:
The Browser the Way You Want It
扫一扫
2741
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
