Пошук Google викрали лише тоді, коли його не спостерігали. Приєднання налагоджувача повертає нормальні результати

Я не можу цього зрозуміти. Я помітив, що результати пошуку були трохи "різними", як пізно.

• Я не входжу під час пошуку в Google, але якщо натискаю кнопку "Зображення" або "Відео", мені відображається вхід.
• На бічній панелі сторінки пошуку немає інформації про вікіпедію.
• Якщо я відключу Ghostery та uBlock, багато результатів - це реклама.

Я вирішив перевірити інструменти для розробників і помітив, що на сторінці є SyntaxError, я натиснув його, і це фактично призводить до функції javascript, яка замінює веб-адресу google.

Здається, проблема виникає лише в Chrome, ось поруч із firefox:

Я спробував приєднати веб-відладчик Fiddler для збору трафіку, щоб я міг бачити, куди я переспрямовуюсь. Але як тільки я приєдную веб-налагоджувач, все проходить, і мені подається фактична сторінка пошуку .... Джерело сторінки, коли Fiddler захоплює, зовсім інше.

Нижче наведено gifv-знімок екрану, на якому його показано. Він починається із викраденої сторінки, і я обводя курсор навколо деяких схематичних додаткових вихідних файлів javascript. Потім я кажу Фіддлеру забирати трафік та оновлювати результати пошуку. Сторінка, яку мені подають, зовсім інша. Нарешті я знову відключаю захоплення трафіку та оновлюю сторінку, щоб показати викрадену сторінку та перенести вас до функції із синтаксичною помилкою, яка повинна замінити веб-адресу.

http://i.imgur.com/gbWkkLp.gifv

Я запускав Malwarebytes і не мав результатів. Spybot придумав кілька звернень, але видалення їх не вирішило проблему. Я також повністю скинув хром за допомогою інструменту, який надає Google. Якщо я використовую інший веб-профіль, наприклад той, в якому я роблю свої рахунки, я не отримаю результатів пошуку. Якщо я вмикаю фіджера, раптом отримую результати.

Деякі зловмисні програми, ймовірно, представляли себе Fiddler , як вказував оригінальний розробник Fiddler Ерік Лоуренс :

Різні фрагменти зловмисного програмного забезпечення перевіряють, чи використовується Fiddler, і якщо так, вони перестають робити свої шкідливі дії, щоб спробувати приховати свої дії.

^{_{( джерело )}}

Fiddler - це інструмент налагодження веб-сторінок. Він не має жодної шкідливої ​​поведінки, і він ніколи не встановлюється, якщо ви особисто не встановите його за допомогою інсталятора, завантаженого з Telerik. Описаний тут сценарій - це зловмисне програмне забезпечення, яке намагається уникнути виявлення, роблячи себе схожим на Fiddler.

^{_{( джерело )}}

Поведінка

Найясніша ознака зловмисного програмного забезпечення полягає в тому, що Google Chrome не завантажує веб-сайти HTTPS за призначенням, якщо ви не використовуєте Fiddler для збору трафіку. Fiddler не розроблений для того, щоб перешкоджати нормальному перегляду веб-сторінок, коли він не використовується.

Для того, щоб зловмисне програмне забезпечення приховувало себе, йому потрібно викрасти проксі-сервер Fiddler і відмовитись від трафіку HTTPS за допомогою приватного ключа сертифіката Fiddler. Це тривіально змінити налаштування проксі - сервера , і можна отримати копію секретного ключа при інсталяції Скрипаль .

Кореневий сертифікат

Вам довелося Fiddler встановити на свій комп’ютер кореневий сертифікат, який дозволяє йому вставляти себе як людина-посередині (MitM) для контролю вмісту даних, що надсилається через HTTPS:

Навпаки, ось яким чином зазвичай довіряють https://www.google.com/ :

Ваш комп'ютер довіряє DO_NOT_TRUST_FiddlerRootсертифікату, оскільки він був встановлений у сховищі сертифікатів вашої операційної системи.

Проксі для перехоплення HTTPS

Ви вказали, що HTTPS належним чином поводиться на Mozilla Firefox, який може бути налаштований на використання власних незалежних правил проксі, а не правил проксі операційної системи. Google Chrome використовує проксі-операційну систему без легкого варіанту, якщо це зробити інакше.

Проходячи через проксі-сервер на рівні операційної системи Fiddler, Fiddler тепер може бути MitM для зйомки незашифрованих даних HTTPS, поки він обслуговує сайт. Скрипаль витягує деякі веб - сторінки, а потім підписує його як «www.google.com» з використанням сертифіката , який був довіреною раніше DO_NOT_TRUST_FiddlerRoot.

За цих обставин зловмисне програмне забезпечення може приймати як проксі, так і сертифікат, щоб подати вам неправильний сайт, поки він показує вам . Я бачу, що це призводить до складних фішинг-атак.

Проблеми безпеки

^{_{Пов’язано з обміном стека безпеки: Які ризики для безпеки створюють постачальники програмного забезпечення, що застосовують проксі-сервер перехоплення SSL на робочих столах користувачів}}

Як писав колись Ерік Лоуренс ,

Можливості перехоплення HTTPS від Fiddler (справедливо) піднімають брови серед користувачів, які усвідомлюють безпеку.

Ось чому Fiddler попереджає про наслідки для безпеки перехоплення HTTPS-трафіку:

Помилка користувача або встановлення зловмисного програмного забезпечення Fiddler були пов'язані з різними проблемами:

• Fiddler показує тунелювання до невідомих IP-адрес
• знайшов купу персональних сертифікатів DO_NOT_TRUST_FiddlerRoot, встановлених у моїй системі
• Я не знаю, як, але я отримав Fiddler на своєму комп’ютері (я не схвалив жодної установки)
• Попередження про сертифікат Thunderbird продовжує з'являтися
• Параметри проксі для ПК перекриваються

Хоча сам Фіддлер не є шкідливою програмою, його неправильне використання та непорозуміння призвели до поганої репутації та вірусів, що претендують на Фіддлера .

Видалення

Я не знаю, чи ваш комп’ютер зламав якийсь викрадач Fiddler, але ви вказали, що у вас немає часу, щоб стерти комп'ютер та перевстановити, тож сподіваємось, що наступними кроками можна позбутися Fiddler та відновити належну безпечну поведінку в Інтернеті. (Я все-таки рекомендую після цього перевстановити та змінити ваші паролі, особливо якщо ви серйозно ставитесь до безпеки. Ви писали, що Spybot - Search & Destroy знайшов деяку шкідливу програму.)

Передмова: Де-налаштування Fiddler

Оригінальний плакат виявив ці додаткові кроки, щоб вирішити його проблему з Fiddler:

Зрештою, що було виправлено: Налаштування -> Показати розширені налаштування -> Під мережею -> Змінити налаштування проксі -> Додатково -> Скинути

і

Також у налаштуваннях Fiddler я відключив параметри, що дозволяють йому розшифрувати трафік HTTPS перед видаленням та повторним очищенням сертифікатів.

Видалити кореневі сертифікати Fiddler

1. Натисніть Win+r
2. Відчинено: certmgr.msc
3. Перегляньте всі папки та вийміть DO_NOT_TRUST_FiddlerRootсертифікат.

Видаліть Fiddler

1. Перейдіть до Панелі управління »Програми» Програми та функції.
2. Видаліть Fiddler. Одне джерело говорить, що Fiddler може називатися "FiddlerRoot" або "BrowserSafeguard".

Очистити налаштування проксі

Якщо припустити, що ви зазвичай не використовуєте інший проксі ...

1. Перейдіть до Панелі управління »Параметри Інтернету.
2. У розділі "Властивості Інтернету" перейдіть на вкладку "З'єднання".
3. У розділі "Налаштування локальної мережі (LAN)" натисніть "Налаштування локальної мережі".
4. Очистіть та зніміть прапорці з налаштувань проксі-сервера так:

Видаліть зловмисне програмне забезпечення

Як було запропоновано раніше на Super User , вам слід спробувати знайти та видалити оригінальну шкідливу програму, яка відображала змінені веб-сторінки HTTPS.

Детальна порада:
Як я можу видалити з мого ПК шкідливе шпигунське програмне забезпечення, зловмисне програмне забезпечення, рекламне програмне забезпечення, віруси, трояни чи руткіти?