近日接到用戶反饋，IE首頁總是被改。該現象一般是用戶不知情的情況下主動或被動地運行了某些應用程序后進行的修改，可以是隨系統啟動而啟動，也可以是隨某個第三方應用程序啟動而啟動，甚至是做一些簡單的欺騙。

本文旨在介紹一種常見欺騙玩法。

在本案例中我們首先發現在Internet屬性中將首頁設置為空白頁后依然打開某導航頁面。

在本案例中出現該現象是由于一個注冊表鍵值定義導致，詳情參考：http://security.ccidnet.com/art/1099/20090513/1766611_1.html

之后手工清理注冊表或使用Papa的工具清理后便可以正常打開空白的IE首頁，但是每當運行桌面上的游戲后便又改回去了。

進入游戲的目錄后以下兩個文件引起了我們的注意：

將d3dx10.dll文件改名后運行Heroe.exe出現如下報錯，并無條件彈出下載網站鏈接：

看到這個現象后基本原因上就很明朗了，以下是簡單分析：

1.創建游戲快捷方式指向虛假的游戲主程序Heroe.exe；

2.而實際上d3dx10.dll為真實的游戲主程序；

3.當Heroe.exe運行后會修改IE首頁等設置，并將d3dx10.dll設置為隱藏屬性并改名為游戲文件名Hero.exe；

4.在Hero.exe正常結束(用戶在游戲中正常執行的退出操作)后Heroe.exe會將Hero.exe改名回d3dx10.dll；

5.如Heroe.exe運行后找不到真正的游戲主程序d3dx10.dll或Hero.exe時，彈出窗口要求用戶訪問單擊游戲下載網站hxxp://www.newyx.net

處理方案：

1.取消d3dx10.dll的隱藏屬性并改名為Hero.exe；

2.將桌面游戲快捷方式所指向的文件修改為真實的游戲主程序文件名Hero.exe；

3.只用Papa之前介紹過的方法處理IE首頁被改的問題，詳情觀看http://security.ccidnet.com/art/1099/20090513/1766611_1.html。

【注：基于安全考慮，文中部分網絡鏈接“http”被替換為“hxxp”，特此說明。】