Поиск в Google угнали только тогда, когда не наблюдали. Присоединение отладчика возвращает нормальные результаты

Question

Поиск в Google угнали только тогда, когда не наблюдали. Присоединение отладчика возвращает нормальные результаты

Я не могу понять это. Я заметил, что мои результаты поиска были немного "другими" в последнее время.

Я не вошел в систему, когда я выполняю поиск в Google, но если я нажму "Изображения" или "Видео", я буду отображаться как вошедший в систему.
На боковой панели страницы поиска нет информации о Википедии.
Если я отключу Ghostery и uBlock, многие результаты будут рекламными.

Я решил проверить инструменты разработчика и заметил, что на странице был SyntaxError, я щелкнул по нему, и он фактически приводит к функции javascript, которая заменяет веб-адрес Google.

Похоже, проблема возникает только в Chrome, а вот и Firefox:

Я попытался подключить Fiddler Web Debugger для захвата трафика, чтобы я мог видеть, куда меня перенаправляют. Но как только я присоединяю веб-отладчик, все исчезает, и я получаю настоящую страницу поиска.... Источник страницы, когда захватывает Fiddler, совершенно другой.

Ниже приведен скриншот GIFV, показывающий это. Он начинается с захваченной страницы, и я обводю курсор вокруг некоторых схематичных дополнительных исходных файлов javascript. Затем я говорю Fiddler для захвата трафика и обновления результатов поиска. Страница, которую я обслуживаю, совершенно другая. Наконец, я снова отключаю захват трафика и обновляю страницу, чтобы показать захваченную страницу, и перехожу к функции с синтаксической ошибкой, которая должна заменить веб-адрес.

https://i.imgur.com/gbWkkLp.gifv

Я запустил Malwarebytes и не получил никаких результатов. Spybot предложил несколько попаданий, но их удаление не решило проблему. Я также полностью сбросил Chrome, используя инструмент Googles. Если я использую другой веб-профиль, например, тот, в котором я выставляю счета, я не получаю результатов поиска. Если я включу Fiddler, вдруг я получу результаты.

12

google-chrome fiddler debugger hijack

Источник

Derek Ziemba 01 фев '16 в 23:21

1 ответ

Решение

Другие вопросы по тегам google-chrome fiddler debugger hijack

Deltik 02 фев '16 в 01:53 2016-02-02 01:53 · Accepted Answer · 2016-02-02 01:53

Некоторые вредоносные программы, вероятно, выдавали себя за Fiddler, как указывал первоначальный разработчик Fiddler EricLaw:

Различные вредоносные программы проверяют, используется ли Fiddler, и если это так, они прекращают свою вредоносную деятельность, чтобы попытаться скрыть свои действия.

^{_{( источник)}}

Fiddler - это инструмент веб-отладки. Он не имеет вредоносного поведения и никогда не устанавливается, если вы лично не установили его с помощью установщика, загруженного из Telerik. Описанный здесь сценарий представляет собой вредоносную программу, которая пытается избежать обнаружения, делая себя похожей на Fiddler.

^{_{( источник)}}

Поведение

Явным признаком вредоносного ПО является то, что Google Chrome не загружает HTTPS-сайты, как предполагалось, если вы не используете Fiddler для захвата трафика. Fiddler не предназначен для вмешательства в ваш обычный просмотр веб-страниц, когда он не используется.

Чтобы вредоносная программа могла скрыться, ей необходимо перехватить прокси-сервер Fiddler и передать HTTPS-трафик с помощью закрытого ключа сертификата Fiddler. Изменить настройки прокси-сервера достаточно просто, и можно получить копию закрытого ключа вашей установки Fiddler.

Корневой сертификат

Fiddler установил корневой сертификат на ваш компьютер, который позволяет ему вставлять себя как посредника (MitM) для мониторинга содержимого данных, отправляемых по HTTPS:

В отличие от этого, вот как https://www.google.com/ обычно доверяют:

Ваш компьютер доверяет DO_NOT_TRUST_FiddlerRoot сертификат, потому что он был установлен в хранилище сертификатов вашей операционной системы.

Прокси для перехвата HTTPS

Вы указали, что HTTPS работает правильно в Mozilla Firefox, который можно настроить на использование собственных независимых правил прокси, а не правил прокси операционной системы. Google Chrome использует прокси операционной системы без простой опции, чтобы сделать иначе.

Проходя через прокси на уровне операционной системы Fiddler, Fiddler теперь может быть MitM для захвата незашифрованных HTTPS-данных, пока он обслуживает сайт. Fiddler получает некоторую веб-страницу, а затем подписывает ее как "www.google.com", используя сертификат, которому доверяли ранее, DO_NOT_TRUST_FiddlerRoot,

При таких обстоятельствах вредоносная программа может захватить как прокси, так и сертификат, чтобы сообщить вам неправильный сайт, но при этом показать вам , Я вижу, что это ведет к сложным фишинговым атакам.

Проблемы безопасности

^{_{Связано с обменом стеками безопасности: какие угрозы безопасности представляют поставщики программного обеспечения, развертывающие протокол SSL с перехватом прокси на рабочих столах пользователей}}

Как однажды написал Эрик Лоуренс,

Возможности перехвата HTTPS в Fiddler (справедливо) вызывают удивление у пользователей, которые заботятся о безопасности.

Вот почему Fiddler предупреждает о последствиях для безопасности перехвата HTTPS-трафика:

Из-за ошибки пользователя или установки вредоносного ПО Fiddler был связан с различными проблемами:

Хотя сама Fiddler не является вредоносной программой, ее неправильное использование и недоразумения привели к тому, что в прошлом плохая репутация и вирусы притворялись Fiddler.

Удаление

Я не знаю, был ли ваш компьютер скомпрометирован каким-либо угонщиком Fiddler, но вы указали, что у вас нет времени, чтобы стереть компьютер и переустановить его, так что, надеюсь, следующие шаги помогут избавиться от Fiddler и восстановить правильное безопасное веб-поведение. (Я бы все же рекомендовал переустановить и сменить ваши пароли после этого, особенно если вы серьезно относитесь к безопасности. Вы писали, что Spybot - Search & Destroy обнаружил какое-то вредоносное ПО.)

Предисловие: отменить настройку Fiddler

Оригинальный постер обнаружил эти дополнительные шаги, чтобы решить его проблему с Fiddler:

В конечном итоге, что это было исправлено: Настройки -> Показать дополнительные настройки -> В сети -> Изменить настройки прокси -> Дополнительно -> Сбросить

а также

Также в настройках Fiddler я отключил опции, позволяющие расшифровывать трафик HTTPS перед удалением и повторной очисткой сертификатов.

Удалить корневой сертификат (ы) Fiddler

Нажмите Win + R
Открыто: certmgr.msc
Просмотрите все папки и удалите DO_NOT_TRUST_FiddlerRoot сертификат.

Удалить Fiddler

Перейдите в Панель управления "Программы" Программы и компоненты.
Удалить Fiddler. Один источник говорит, что Fiddler может называться "FiddlerRoot" или "BrowserSafeguard".

Очистить настройки прокси

Предполагая, что вы обычно не используете другой прокси…

Зайдите в Панель управления "Свойства обозревателя.
В свойствах Интернета перейдите на вкладку "Подключения".
В разделе "Настройки локальной сети (ЛВС)" нажмите "Настройки ЛВС".
Очистите и снимите флажки с настройками прокси-сервера следующим образом:

Удалить вредоносные программы

Как предлагалось ранее для Super User, вы должны попытаться найти и удалить исходное вредоносное ПО, отображающее измененные веб-страницы HTTPS.

Подробный совет:
Как удалить со своего компьютера вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты?