Die Google-Suche wurde nur entführt, wenn sie nicht beachtet wurde. Das Anhängen eines Debuggers liefert normale Ergebnisse

Ich kann das nicht herausfinden. Ich bemerkte, dass meine Suchergebnisse in letzter Zeit etwas "anders" waren.

• Ich bin nicht angemeldet, wenn ich eine Google-Suche durchführe. Wenn ich jedoch auf "Bilder" oder "Videos" klicke, werde ich als angemeldet angezeigt.
• In der Seitenleiste der Suchseite befinden sich keine Wikipedia-Informationen.
• Wenn ich Ghostery und uBlock deaktiviere, handelt es sich bei vielen Ergebnissen um Anzeigen.

Ich habe mich entschlossen, die Entwicklertools zu überprüfen, und festgestellt, dass die Seite einen SyntaxError enthält. Ich habe darauf geklickt und er führt tatsächlich zu einer JavaScript-Funktion, die die Google-Webadresse ersetzt.

Das Problem scheint nur in Chrome aufzutreten, hier ist eine Seite an Seite mit Firefox:

Ich habe versucht, Fiddler Web Debugger anzuschließen, um den Datenverkehr zu erfassen, damit ich sehen kann, wohin ich umgeleitet werde. Aber sobald ich einen Web-Debugger anhänge, verschwindet alles und mir wird die eigentliche Suchseite angezeigt .

Unten sehen Sie ein Screenshot-GIFV, das es zeigt. Es beginnt mit der entführten Seite und ich bewege meinen Cursor um einige skizzenhafte zusätzliche Javascript-Quelldateien. Anschließend fordere ich Fiddler auf, den Datenverkehr zu erfassen und meine Suchergebnisse zu aktualisieren. Die Seite, die ich bediene, ist völlig anders. Schließlich deaktiviere ich die Verkehrserfassung wieder und aktualisiere die Seite, um die entführte Seite anzuzeigen und Sie zu der Funktion mit dem Syntaxfehler zu führen, der die Webadresse ersetzen soll.

http://i.imgur.com/gbWkkLp.gifv

Ich lief Malwarebytes und bekam keine Ergebnisse. Spybot hatte ein paar Treffer, deren Entfernung das Problem jedoch nicht behebt. Ich habe Chrome auch mithilfe des von Google bereitgestellten Tools vollständig zurückgesetzt. Wenn ich ein anderes Webprofil verwende, wie das, in dem ich meine Rechnungen abrechne, erhalte ich keine Suchergebnisse. Wenn ich Fiddler aktiviere, erhalte ich plötzlich Ergebnisse.

Einige Schadprogramme gaben sich wahrscheinlich als Fiddler aus , wie der ursprüngliche Entwickler von Fiddler, Eric Lawrence , bemerkte:

Verschiedene Malware-Programme überprüfen, ob Fiddler verwendet wird. In diesem Fall stellen sie ihre böswilligen Aktivitäten ein, um zu versuchen, ihre Aktionen zu verbergen.

^{_{( Quelle )}}

Fiddler ist ein Web-Debugging-Tool. Es hat überhaupt kein bösartiges Verhalten und wird niemals installiert, es sei denn, Sie installieren es persönlich mit dem von Telerik heruntergeladenen Installationsprogramm. Das hier beschriebene Szenario ist eine Malware, die versucht, die Erkennung zu verhindern, indem sie sich wie Fiddler ausgibt.

^{_{( Quelle )}}

Verhalten

Das deutlichste Anzeichen für Malware ist, dass Google Chrome HTTPS-Websites nicht wie vorgesehen lädt, es sei denn, Sie verwenden Fiddler, um den Datenverkehr zu erfassen. Fiddler ist nicht dafür ausgelegt, das normale Surfen im Internet zu beeinträchtigen, wenn es nicht verwendet wird.

Damit sich die Malware selbst verstecken kann, muss sie den Fiddler-Proxy hijacken und den HTTPS-Verkehr mit dem privaten Schlüssel des Fiddler-Zertifikats zurücktreten. Es ist ganz einfach, die Proxy-Einstellungen zu ändern , und es ist möglich , eine Kopie des privaten Schlüssels Ihrer Fiddler-Installation zu erhalten .

Stammzertifikat

Sie hatten Fiddler ein Stammzertifikat auf Ihrem Computer installiert, das es ihm ermöglicht, sich als Man-in-the-Middle (MitM) einzufügen, um den Dateninhalt zu überwachen, der über HTTPS gesendet wird:

Im Gegensatz dazu wird https://www.google.com/ normalerweise folgendermaßen als vertrauenswürdig eingestuft:

Ihr Computer vertraut dem DO_NOT_TRUST_FiddlerRootZertifikat, da es im Zertifikat-Truststore Ihres Betriebssystems installiert wurde.

Proxy zum Abfangen von HTTPS

Sie haben angegeben, dass sich HTTPS unter Mozilla Firefox ordnungsgemäß verhält. In dieser Konfiguration können anstelle der Proxy-Regeln des Betriebssystems eigene unabhängige Proxy-Regeln verwendet werden. Google Chrome verwendet den Betriebssystem-Proxy, ohne eine einfache Möglichkeit, etwas anderes zu tun.

Über Fiddlers Proxy auf Betriebssystemebene kann Fiddler nun als MitM fungieren, um unverschlüsselte HTTPS-Daten zu erfassen, während die Site weiterhin bedient wird. Fiddler ruft eine Webseite ab und signiert sie dann mit dem zuvor vertrauenswürdigen Zertifikat als "www.google.com" DO_NOT_TRUST_FiddlerRoot.

Unter diesen Umständen kann Malware sowohl den Proxy als auch das Zertifikat übernehmen, um Sie mit der falschen Site zu versorgen, während Ihnen weiterhin die angezeigt wird . Ich kann sehen, dass dies zu ausgefeilten Phishing-Angriffen führt.

Sicherheitsbedenken

^{_{Verwandte Themen zu Security Stack Exchange: Welche Sicherheitsrisiken bestehen bei Softwareanbietern, die SSL Intercepting-Proxys auf Benutzerdesktops bereitstellen}}

Wie Eric Lawrence einmal schrieb ,

Die HTTPS-Überwachungsfunktionen von Fiddler ziehen (zu Recht) die Augenbrauen sicherheitsbewusster Benutzer hoch.

Aus diesem Grund warnt Fiddler vor den Auswirkungen des Abfangens von HTTPS-Verkehr auf die Sicherheit:

Durch Benutzerfehler oder Malware-Installation wurde Fiddler mit verschiedenen Problemen in Verbindung gebracht:

• Geiger zeigt Tunneling zu unbekannten IPs
• habe eine Reihe von persönlichen DO_NOT_TRUST_FiddlerRoot-Zertifikaten gefunden, die auf meinem System installiert sind
• Ich weiß nicht wie, aber ich habe Fiddler auf meinem Computer (ich habe keine Installation genehmigt)
• Thunderbird Certificate Alert erscheint immer wieder
• Proxy-Einstellungen des PCs werden überschrieben

Obwohl Fiddler selbst kein schädliches Programm ist, führten sein Missbrauch und seine Missverständnisse in der Vergangenheit zu einem schlechten Ruf und Viren, die sich als Fiddler ausgeben .

Entfernung

Ich weiß nicht, ob Ihr Computer von einem Fiddler-Hijacker kompromittiert wurde, aber Sie haben angegeben, dass Sie keine Zeit haben, Ihren Computer zu löschen und neu zu installieren. Hoffentlich können die folgenden Schritte Fiddler loswerden und das ordnungsgemäße sichere Webverhalten wiederherstellen. (Ich würde weiterhin empfehlen, Ihre Passwörter nachträglich erneut zu installieren und zu ändern, insbesondere wenn Sie es mit der Sicherheit ernst meinen. Sie haben geschrieben, Spybot - Search & Destroy habe Malware gefunden.)

Vorwort: Entkonfigurieren Sie Fiddler

Das Originalplakat entdeckte diese zusätzlichen Schritte , um sein Problem mit Fiddler zu lösen:

Letztendlich war das Problem behoben: Einstellungen -> Erweiterte Einstellungen anzeigen -> Unter Netzwerk -> Proxy-Einstellungen ändern -> Erweitert -> Zurücksetzen

und

Außerdem habe ich in den Fiddler-Einstellungen die Optionen deaktiviert, mit denen der HTTPS-Verkehr entschlüsselt werden kann, bevor Zertifikate deinstalliert und erneut gelöscht werden.

Fiddler's Root Certificate (s) entfernen

1. Drücken Sie Win+r
2. Öffnen: certmgr.msc
3. Durchsuchen Sie alle Ordner und entfernen Sie das DO_NOT_TRUST_FiddlerRootZertifikat.

Deinstallieren Sie Fiddler

1. Gehen Sie zu Systemsteuerung »Programme» Programme und Funktionen.
2. Deinstallieren Sie Fiddler. Einer Quelle zufolge kann Fiddler "FiddlerRoot" oder "BrowserSafeguard" genannt werden.

Proxy-Einstellungen löschen

Angenommen, Sie verwenden normalerweise keinen anderen Proxy.

1. Gehen Sie zu Systemsteuerung »Internetoptionen.
2. Wechseln Sie in den Internet-Eigenschaften zur Registerkarte "Verbindungen".
3. Klicken Sie unter "LAN-Einstellungen" auf "LAN-Einstellungen".
4. Deaktivieren und deaktivieren Sie Ihre Proxy-Einstellungen wie folgt:

Malware entfernen

Wie bereits für Super User vorgeschlagen , sollten Sie versuchen, die ursprüngliche Malware zu finden und zu entfernen, die geänderte HTTPS-Webseiten anzeigt.

Ausführliche Hinweise:
Wie kann ich böswillige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?