Wie kann ich Malware mit Chrome-Erweiterungen unter Linux identifizieren?

21

Ich bin anscheinend mit Malware infiziert. Insbesondere werde ich von Zeit zu Zeit (normalerweise alle paar Tage) auf eine Seite weitergeleitet, auf der ich aufgefordert werde, etwas herunterzuladen, normalerweise eine "neue Version von Flash". Vermutlich ist es nichts dergleichen, sondern tatsächlich ein Virus oder Trojaner.

Ich verwende die google-chromeVersion 30.0.1599.114 unter Debian Linux und bin mir ziemlich sicher, dass dies durch eine Erweiterung verursacht wird. Ich weiß, dass ich meine Erweiterungen einfach deinstallieren oder meinen ~/.config/google-chromeOrdner löschen kann , aber ich würde es lieber nicht tun. Ich möchte die Erweiterung, die dies verursacht, identifizieren und nur diese entfernen.

Beim Versuch, dies zu debuggen (danke an @Braiam), habe ich den Ereignisprotokollierer eingecheckt chrome://net-internals/#eventsund nach einer der URLs gesucht, zu denen ich umgeleitet werde:

Screenshot des Chrome-Ereignisprotokolls

Die Inhalte der chrome://net-internals/#eventssind:

122667: URL_REQUEST
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.358

t=1393864121358 [st=  0] +REQUEST_ALIVE  [dt=334]
t=1393864121359 [st=  1]   +URL_REQUEST_START_JOB  [dt=332]
                            --> load_flags = 134349184 (ENABLE_LOAD_TIMING | ENABLE_UPLOAD_PROGRESS | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
                            --> method = "GET"
                            --> priority = 2
                            --> url = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121359 [st=  1]      HTTP_CACHE_GET_BACKEND  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_OPEN_ENTRY  [dt=0]
                              --> net_error = -2 (ERR_FAILED)
t=1393864121359 [st=  1]      HTTP_CACHE_CREATE_ENTRY  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_ADD_TO_ENTRY  [dt=0]
t=1393864121359 [st=  1]     +HTTP_STREAM_REQUEST  [dt=1]
t=1393864121360 [st=  2]        HTTP_STREAM_REQUEST_BOUND_TO_JOB
                                --> source_dependency = 122670 (HTTP_STREAM_JOB)
t=1393864121360 [st=  2]     -HTTP_STREAM_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_SEND_REQUEST  [dt=0]
t=1393864121360 [st=  2]        HTTP_TRANSACTION_SEND_REQUEST_HEADERS
                                --> GET /p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980 HTTP/1.1
                                    Host: cdn.adnxs.com
                                    Connection: keep-alive
                                    User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.114 Safari/537.36
                                    Accept: */*
                                    DNT: 1
                                    Referer: http://ib.adnxs.com/tt?id=2301980&cb=1393864120&referrer=http://fra1.ib.adnxs.com/if?enc=gbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.&pubclick=http://fra1.ib.adnxs.com/click?XkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA./cnd%3D!8gXSNwiT18QBEIujlwYY0cEVIAA./referrer%3Dhttp://www.imgclck.com/serve/imgclck.php/clickenc%3Dhttp://optimized-by.rubiconproject.com/t/9164/15602/101258-2.3581666.3755480?url%3D&cnd=%218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.&ccd=%21vwV6NgiCtsABEL3CkgYYt5YRIAA.&udj=uf%28%27a%27%2C+279660%2C+1393864119%29%3Buf%28%27c%27%2C+3152642%2C+1393864119%29%3Buf%28%27r%27%2C+12886333%2C+1393864119%29%3B&vpid=77&apid=189016&referrer=http%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php&media_subtypes=1&ct=0&dlo=1&pubclick=http://fra1.ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAALTIdr6fGus_AAAAAAAAAAAAAAAAAAAAAA-Oj4oIzbJcljpJTzhxcH-4rRRTAAAAANYjIwB6AgAAEAkAAAIAAAAfKcUAD5wFAAAAAQBVU0QAVVNEANgCWgCqqwAAtdQAAQUCAQIAAIwA6xZV3wAAAAA./cnd=%21GgafOwjH0sYBEJ_SlAYYj7gWIAE./referrer=http%3A%2F%2Ffra1.ib.adnxs.com%2Fif%3Fenc%3DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%26pubclick%3Dhttp%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%2Fcnd%253D%218gXSNwiT18QBEIujlwYY0cEVIAA.%2Freferrer%253Dhttp%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php%2Fclickenc%253Dhttp%3A%2F%2Foptimized-by.rubiconproject.com%2Ft%2F9164%2F15602%2F101258-2.3581666.3755480%3Furl%253D%26cnd%3D%25218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.%26ccd%3D%2521vwV6NgiCtsABEL3CkgYYt5YRIAA.%26udj%3Duf%2528%2527a%2527%252C%2B279660%252C%2B1393864119%2529%253Buf%2528%2527c%2527%252C%2B3152642%252C%2B1393864119%2529%253Buf%2528%2527r%2527%252C%2B12886333%252C%2B1393864119%2529%253B%26vpid%3D77%26apid%3D189016%26referrer%3Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%26media_subtypes%3D1%26ct%3D0%26dlo%3D1/clickenc=
                                    Accept-Encoding: gzip,deflate,sdch
                                    Accept-Language: en-US,en;q=0.8,fr;q=0.6
                                    Cookie: __gads=ID=386c1f6bc0285adb:T=1390666421:S=ALNI_MZXJdGrAsWELFKRsS7QcqnPTkuaMw; uuid2=9182964126870747798; sess=1; icu=ChIIr54TEAYYASAAKAEwu8_EmAUKEgiCyRUQBhgDIAAoAzDGkb-XBQoSCKraFRAGGAEgACgBMIyKv5cFChII5I8WEAYYASAAKAEw0szplwUKEgjXlhYQBhgCIAAoAjDFvM2YBQoSCP7-CBAKGAUgBSgFMMjU0pgFChIIpogJEAoYByAHKAcwqtXSmAUKEgiDtwoQChgdIB0oHTCx29KYBQoSCNuECxAKGAUgBSgFMPbX0pgFChII0aELEAoYASABKAEwuc3SmAUKEgjLzwsQChgBIAEoATDrzNKYBQoSCK7fCxAKGAEgASgBMJfH0pgFChII0eQLEAoYASABKAEw5czSmAUKEgi78AsQChgHIAcoBzDwyNKYBQoSCL_yCxAKGAEgASgBMKzV0pgFChIIkoAMEAoYAiACKAIwrdvSmAUKEgi3hQ0QChgBIAEoATCv1dKYBQoSCMWnDhAKGAcgBygHMOzY0pgFChII_KcOEAoYBSAFKAUwisHSmAUKEgiIqA4QChgEIAQoBDCr1dKYBQoSCJ7pDhAKGAUgBSgFMMnK0pgFChII3ukOEAoYICAgKCAwuNvSmAUKEgi0hw8QChgBIAEoATC2ydKYBQoSCOeVDxAKGAUgBSgFMMnK0pgFChII_J4PEAoYASABKAEwrtvSmAUKEgi_lxAQChgDIAMoAzC8zdKYBQoSCNCkEBAKGAIgAigCML3N0pgFChII6acQEAoYBiAGKAYw5dfSmAUKEgjpsRAQChgGIAYoBjCv1dKYBQoSCMy5EBAKGAEgASgBMO3U0pgFChII1uoQEAoYASABKAEwstXSmAUKEgipghEQChgIIAgoCDCJy9KYBQoSCIaeERAKGAQgBCgEMOzY0pgFChIIh54REAoYAyADKAMw79jSmAUKEgjJpREQChgBIAEoATCbytKYBQoSCI-yERAKGAEgASgBMInL0pgFChIIqbcREAoYAiACKAIwisvSmAUKEgievhEQChgBIAEoATCtw9KYBQoSCP7GERAKGAYgBigGMNzT0pgFChIIofMREAoYAyADKAMwttHSmAUKEgjK-xEQChgCIAIoAjCx1dKYBQoSCJ6BEhAKGBsgGygbMNvX0pgFChII9ogSEAoYBiAGKAYw18rSmAUKEgjvmRIQChgDIAMoAzDP2dKYBQoSCI2qEhAKGAQgBCgEMLXJ0pgFChIInLASEAoYAiACKAIw0srSmAUKEgjXsRIQChgCIAIoAjDYytKYBQoSCKO0EhAKGAMgAygDMKjV0pgFChIIvrQSEAoYByAHKAcw19jSmAUKEgjFthIQChgCIAIoAjD0zNKYBQoSCLHAEhAKGAEgASgBMKDE0pgFChIIqswSEAoYASABKAEwzsrSmAUKEgiv0hIQChgDIAMoAzCPwdKYBQoSCOTYEhAKGAEgASgBMLTV0pgFChIIrNkSEAoYByAHKAcw7MLSmAUKEgj-2xIQChgDIAMoAzCx1dKYBQoSCInfEhAKGAIgAigCMMDN0pgFChIIxuASEAoYByAHKAcw3dnSmAUKFQj14BIQChjIASDIASjIATC429KYBQoSCPfgEhAKGAEgASgBMMDN0pgFChII9-ISEAoYBCAEKAQw5djSmAUKEgjw5BIQChgDIAMoAzD4wdKYBQoSCJXqEhAKGAMgAygDMI3F0pgFChII6uwSEAoYAiACKAIwpNLSmAUKEgjB8BIQChgGIAYoBjC_zdKYBQoSCOTyEhAKGAIgAigCMPXM0pgFChII5fISEAoYAyADKAMw-czSmAUKEgiG8xIQChgHIAcoBzDQ2dKYBQoSCIuJExAKGBMgEygTMMTW0pgFChIIoIwTEAoYBSAFKAUw7dTSmAUKEgjDohMQChgBIAEoATC21dKYBQoSCI-wExAKGAUgBSgFMLrN0pgFChIIxLATEAoYBiAGKAYwqtXSmAUKEgjIsBMQChgDIAMoAzDzzNKYBQoSCLyyExAKGAQgBCgEMOnL0pgFChIIvrITEAoYASABKAEw2cnSmAUKEgj6shMQChgBIAEoATDbx9KYBQoSCMi2ExAKGAEgASgBMNnG0pgFChII5bgTEAoYAiACKAIwhNfSmAUKEgiXuRMQChgEIAQoBDDU2NKYBQoSCIq-ExAKGAYgBigGMMfC0pgFChIInsITEAoYASABKAEw2cbSmAUKEgibxRMQChgGIAYoBjCE0dKYBQoSCP_FExAKGAIgAigCMOjM0pgFChIIkcYTEAoYBCAEKAQwz8fSmAUKEgi3xhMQChgBIAEoATCfydKYBQoSCOvGExAKGAEgASgBMLjb0pgFChIIx8gTEAoYBCAEKAQw6NTSmAUKEgiFyhMQChgBIAEoATDTzNKYBQoSCI_KExAKGAIgAigCMMbU0pgFChIIu9ETEAoYAyADKAMw2sfSmAUKEgjr2BMQChgCIAIoAjC21dKYBQoSCIbbExAKGAIgAigCMLnb0pgFChIIzuUTEAoYASABKAEw8MzSmAUKEgj76RMQChgCIAIoAjCqydKYBQoSCIHrExAKGAEgASgBMKrJ0pgFELnb0pgFGNYE; anj=dTM7k!M4.g1IKw2hK`RZ[+9f#Abz#5Z8>#V-^@!KG9XLO4442ch)Pc]jvxZ!#GhOwx*meAdp/D)elWNRR%-I!MOpSn=J+VCrW%0=hj]Bz32M!LSOQ5gll*LP_br1!?zqWv$YT0!S8!Ssqbx<[gw>6wFG2.OXE$1'cEc8BdiTCWLi:P+XwDKQDr`LmI$bR^3u%?co]YbrY[FD44<J(CU/Gn<5H=tP`n<jx[Cz6px:fcFXbqHccp2?vY*$/m>4GqE.2:v`'pIRgJ@wKuwpOTY'2wRpvC`e.1o[gHdch:d8Ly_dx!x3SeM0^!qrZIi%XQ$0pC/UUYEnNS-^j>32us+UP1VB_*ML]?KovH`x8g7%)dRu@#?pr+Lx<$9w@Af%inZIpkFAP#Y`t[+c'OBbc?!FUlhh4fF<-9S<1`W1<W3_z!``x7Jhjeh
t=1393864121360 [st=  2]     -HTTP_TRANSACTION_SEND_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_READ_HEADERS  [dt=330]
t=1393864121360 [st=  2]        HTTP_STREAM_PARSER_READ_HEADERS  [dt=330]
t=1393864121690 [st=332]        HTTP_TRANSACTION_READ_RESPONSE_HEADERS
                                --> HTTP/1.1 200 OK
                                    Server: Apache
                                    ETag: "d932a372371bd0a47ba7e2a73649a8d0:1393776550"
                                    Last-Modified: Sun, 02 Mar 2014 16:09:10 GMT
                                    Accept-Ranges: bytes
                                    Content-Length: 5255
                                    Content-Type: application/x-shockwave-flash
                                    Date: Mon, 03 Mar 2014 16:28:41 GMT
                                    Connection: keep-alive
t=1393864121690 [st=332]     -HTTP_TRANSACTION_READ_HEADERS
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121691 [st=333]   -URL_REQUEST_START_JOB
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121691 [st=333]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=1]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334] -REQUEST_ALIVE

Und von den URL_REQUEST:

122669: DISK_CACHE_ENTRY
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.359

t=1393864121359 [st=  0] +DISK_CACHE_ENTRY_IMPL  [dt=350]
                          --> created = true
                          --> key = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 304
                            --> index = 0
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 304
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 2
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121691 [st=332]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 2612
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121691 [st=332]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 2612
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1448
                            --> index = 1
                            --> offset = 2612
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1448
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1195
                            --> index = 1
                            --> offset = 4060
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1195
t=1393864121693 [st=334]    ENTRY_CLOSE
t=1393864121709 [st=350] -DISK_CACHE_ENTRY_IMPL

Scannen der DISK_CACHE_ENTRYShows, um sauber zu sein:

$ sudo clamscan -r .config/google-chrome/
[...]
Known viruses: 3138491
Engine version: 0.97.8
Scanned directories: 543
Scanned files: 1511
Infected files: 0
Data scanned: 70.93 MB
Data read: 135.29 MB (ratio 0.52:1)
Time: 22.528 sec (0 m 22 s)

Die bereitgestellten Seiten befinden sich häufig (möglicherweise immer, nicht sicher) in der xxx.adnx.comDomain (der xxxTeil variiert). Die Suche nach dieser Zeichenfolge im google-chromeVerzeichnis gibt Folgendes zurück:

$ grep -lR adnx .config/google-chrome/
.config/google-chrome/Default/Preferences
.config/google-chrome/Default/History Provider Cache
.config/google-chrome/Default/Cookies
.config/google-chrome/Default/Current Tabs
.config/google-chrome/Default/History
.config/google-chrome/Default/Archived History
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/#cdn.adnxs.com/settings.sol
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/settings.sol
.config/google-chrome/Default/Favicons-journal
.config/google-chrome/Default/Preferences~
.config/google-chrome/Default/Favicons
.config/google-chrome/Default/Cookies-journal

Meine installierten Add-Ons folgen. Dies sind die Add-Ons von Chrome:

"View Vote totals" without 1000 rep
AutoReviewComments 1.3.0
Chat Reply Helper for Stack Exchange sites 2.4.0
Close Tabs 1.1
Desktop Notifications for Stack Exchange 1.6.5.1
Docs PDF/PowerPoint Viewer (by Google) 3.10
Edit with Emacs 1.13
Hangout Chat Notifications 2.0.0
IE Tab 6.1.21.1
KBD Button for Stack Exchange sites 0.2.0
Sexy Undo Close Tab 7.4.13
Smooth Gestures 0.17.14
SmoothGestures: Plugin 0.9.1
Yet another flags 0.9.10.0

Diese stammen von Stack Apps :

Dude, where's my cursor 1.0
SE Comment Link Helper 1.0
Super User Automatic Corrector 1.0
threading-comments 1.0
stackexchange-tab-editing 1.0

Installierte Plugins:

Screenshot mit installierten Plugins

Wie kann ich anhand dieser (oder anderer) Informationen feststellen, welches Add-On dies verursacht?

linux google-chrome malware terdon
quelle
1
Der einzige Weg, den ich kenne, ist ein Versuch und Irrtum.
Ramhound
@ Ramhound ja. Das Problem ist, dass der Versuch und Irrtum-Ansatz Monate dauern kann, da dies nur selten alle paar Tage vorkommt, weshalb ich ihn noch nicht ausprobiert habe.
Terdon
@terdon | clamscanwar genau das, woran ich dachte. Da es nur zeitweise auftritt, ist es unwahrscheinlich, dass Sie die Erweiterung finden, wenn Sie sie über einen bestimmten Zeitraum nicht herunterfahren und hinzufügen. Dies setzt voraus, dass es sich um ein Erweiterungsproblem handelt. Haben Sie bei Auftreten des Problems festgestellt, dass Ihre Aktivitäten konsistent sind?
Matthew Williams
@MatthewWilliams gar nichts. Es scheint völlig zufällig zu sein, aber ich weiß, dass es nur in Chrom vorkommt. Ich kann zum Beispiel einen Beitrag hier lesen und ohne Klicks werde ich plötzlich zu einer Seite zum Hinzufügen / Herunterladen weitergeleitet.
Terdon
1
Nur eine Notiz, brauchen Sie nicht Ihre Erweiterungen deaktivieren einen nach dem anderen . Deaktivieren Sie die Hälfte von ihnen für einige Tage, und schon bald haben Sie das Feld halbiert (es sei denn, Sie haben mehr als eine infizierte Erweiterung).
Alexis

Antworten:

10

Ich bin mir nicht sicher, ob dies in Ihrem speziellen Fall der Fall ist, aber es gab Situationen, in denen bekanntermaßen gute Erweiterungen an Dritte verkauft wurden, die die Erweiterung dann für schändliche Zwecke kooptieren. In der folgenden Geschichte wird dies erläutert: Google Chrome-Erweiterungen werden an böswillige Adware-Unternehmen verkauft .

Auszug

Ron Amadeo von Ars Technica hat kürzlich einen Artikel über Adware-Anbieter geschrieben, die Chrome-Erweiterungen kaufen, um böswillige, werbefinanzierte Updates zu platzieren.

Google Chrome verfügt über automatische Updates, um sicherzustellen, dass die Nutzer immer über die neuesten Updates verfügen. Offensichtlich wird Google Chrome direkt von Google aktualisiert. Dieser Update-Vorgang umfasst folglich auch die Erweiterungen von Chrome. Chrome-Erweiterungen werden von den Erweiterungsbesitzern aktualisiert, und der Benutzer kann bestimmen, ob der Erweiterungsbesitzer vertrauenswürdig ist oder nicht.

Wenn Benutzer eine Erweiterung herunterladen, erteilen sie dem Erweiterungsinhaber die Erlaubnis, jederzeit neuen Code an ihren Browser zu senden.

Was unvermeidlich passiert ist, ist, dass Adware-Anbieter die Erweiterungen und damit die Benutzer von Erweiterungsautoren kaufen. Diese Anbieter stellen jedem Benutzer der Erweiterung Adware zur Verfügung, was zu einem gefährlichen Surferlebnis führen kann.

Ein Google-Erweiterungsautor gab seinen persönlichen Bericht dazu in seinem Blog-Beitrag mit dem Titel "Ich habe eine Chrome-Erweiterung verkauft, aber es war eine schlechte Entscheidung."

Mein Rat wäre, diese Situation sehr ernst zu nehmen und Erweiterungen zu deaktivieren, bei denen Sie sich nicht sicher sind. Ich würde dann die Situation überwachen, um zu sehen, ob sie nachlässt oder anhält.

Wenn es so weitergeht, würde ich tiefer gehen und anfangen, die von Ihnen verwendeten DNS-Server zu untersuchen. Normalerweise verwende ich OpenDNS aus genau diesem Grund, da dieser Dienst (kostenlos) versucht, Angriffsvektoren zu vereiteln, indem DNS-Lookups stattdessen auf alternative OpenDNS-Seiten umgeleitet werden.

Warum sollte man sich für DNS interessieren?

OpenDNS-DNS-Server erhöhen absichtlich die Ergebnisse, die sie bei einer Suche zurückgeben, wenn bekannt ist, dass ein Hostname mit Aktivitäten im Zusammenhang mit Spam / Hacking / Phishing in Verbindung steht. Sie sind in einer einzigartigen Position, da sie die Suchvorgänge für jeden Standort des Kundenverkehrs durchführen, sodass sie Anomalien erkennen können, siehe hier: OPENDNS PHISHING PROTECTION sowie hier .

Was sonst?

Ich würde auch sicherstellen, dass Ihre /etc/hostsDatei nicht kompromittiert wurde, und die Situation weiterhin mit etwas überwachen nethog, das zeigt, welche Prozesse auf Ihr Netzwerk zugreifen.

Amit Agarwal erstellte eine Feedly-Erweiterung für Chrome in weniger als einer Stunde und verkaufte sie unwissentlich an einen Adware-Anbieter für ein 4-stelliges Angebot. Die Erweiterung hatte zum Zeitpunkt des Verkaufs über 30.000 Nutzer in Chrome. Die neuen Eigentümer haben ein Update für den Chrome-Store veröffentlicht, mit dem Adware- und Affiliate-Links in die Browser-Erfahrung der Nutzer eingefügt wurden. Diese Erweiterung wurde zwar aufgrund der von Agarwals reumütigem Geständnis gemachten Publizität entfernt, dies ist jedoch ein sehr häufiges Ereignis bei Chrome-Erweiterungen.

slm
quelle
Ja, ich glaube, so etwas ist im Gange. Ich kann bestätigen, dass meine hostsDatei sauber ist und für alle Fälle auf OpenDNS umgestellt wird. Vielen Dank.
Terdon
OpenDNS machte keinen Unterschied. Ich denke, es berücksichtigt diese gültigen Anfragen.
Terdon
@terdon - sie haben dieses Problem möglicherweise noch nicht erkannt.
Slm
5

Schauen Sie sich die Testberichte zur Erweiterung Smooth Gestures an ( direkter Link ).

Wenn Sie die Überprüfungen nach Datum sortieren (indem Sie auf " Zuletzt" klicken ), werden Sie feststellen, dass fast alle neuen Überprüfungen eine Ein-Stern-Bewertung haben und sich über Anzeigen beschweren, die nicht ordnungsgemäß bearbeitet wurden:

Kevin Lee vor einem Tag

Verkauft an ein Drittanbieterunternehmen, das Anzeigen und eine Funktion zum Bezahlen und Entfernen von Anzeigen hinzufügt.

Suresh Nageswaran vor 3 Tagen

Hasse die Werbung. Funktionierte gut, bis Anzeigen in meine Browser-Erfahrung eingefügt wurden. Ich hätte gezahlt, um es weiterhin zu benutzen, aber ich fühlte mich stark über die Hinterlist. Grenzen von Spyware.

John Smith vor 6 Tagen

Verwenden Sie dies nicht. Es injiziert JS in Clickjack-Dinge und verursacht XSS-Sicherheitsprobleme mit https.

Tomas Hlavacek 23. Februar 2014

Absoluter Mist ... Erinnern Sie sich an den Vorfall mit unbefugtem URL-Schleichen? Dann zwangen sie die Nutzer, Werbung zu "spenden" oder zu erleiden. Es begann sogar, auf bestimmten Seiten zu verzögern (was vor all diesen "Verbesserungen" nicht der Fall war). Also habe ich zu CrxMouse gewechselt und es geht mir gut.

Kyle Barr 19. Februar 2014

Es ist eine solide Erweiterung für Mausgesten, aber die neuen Anzeigen sind eine schreckliche Ergänzung. Erstens, weil die Erweiterung die Anzeigen aktualisiert und stillschweigend hinzufügt, sodass Sie nicht wissen, woher sie stammen. Hier scanne ich meinen Computer mit mehreren Malware-Scannern, weil ich zufällige Anzeigen erhalte, bis ich merke, dass sie mit Smooth Gestures eingefügt werden.

Es gibt keinen guten Grund mehr, diese Erweiterung zu verwenden, und ich möchte persönlich wissen, wer diese Erweiterung entwickelt, damit ich in Zukunft sicherstellen kann, dass nichts von ihnen installiert wird.

Sieht so aus, als wäre das der Schuldige.

Dennis
quelle
Ah, jetzt sieht das wirklich vielversprechend aus. Vielen Dank, ich werde diejenigen, die ich bereits entfernt habe, neu installieren und nur diese entfernen. Ich werde es noch nicht akzeptieren, da es einige Tage dauern wird, um sicherzugehen, aber ich werde zurückkommen und Sie wissen lassen.
Terdon
Schön, dass Sie den Täter gefunden haben. Es gibt eine ähnliche Erweiterung namens SmoothScroll, die anscheinend das gleiche Problem hat. chrome.google.com/webstore/search/smooth%20scroll . Der mit mehr Bewertungen, wenn man sich die Bewertungen ansieht, das gleiche Angebot wie dieser!
Slm
@terdon: Ich denke, ich habe eine nützliche Erweiterung gefunden. Extensions Update Notifier zeigt bei jeder Aktualisierung einer Erweiterung eine Desktop-Benachrichtigung an.
Dennis
5

Zusätzlich zu den Antworten hier habe ich einige weitere nützliche Ressourcen gefunden.

  1. In diesem HowTogeek- Artikel wird ein Programm namens Fiddler empfohlen , das als Web-Debugging-Proxy fungiert und es Ihnen ermöglicht, Netzwerkanforderungen zu untersuchen (es gibt eine Alpha- Linux-Version ). @slm hat mich auf diese Antwort auf SO hingewiesen , die auch verschiedene ähnliche Programme enthält.

  2. Im Entwicklermodus auf der Chrome- chrome://extensionsSeite können Sie jede Erweiterung auf im Hintergrund ausgeführte Prozesse überprüfen:

    Bildbeschreibung hier eingeben

    Durch Klicken auf background.htmlwird das Entwickler-Tool-Fenster von Chrome geöffnet, in dem Sie auf einfache Weise die Quellen der verschiedenen Skripte durchsuchen können, die die Erweiterung enthält. In diesem Fall bemerkte ich einen Ordner, der supportim Quellenbaum von Sexy Undo Close Tab aufgerufen wurde und ein Skript enthielt background.js, das verdächtig aussah (es erzeugte zufällige Zeitintervalle, die meinen Symptomen entsprachen).

  3. Dieser andere Howtogeek- Artikel enthält eine Liste bekannter Erweiterungen, die vermieden werden sollten. Noch besser ist jedoch http://www.extensiondefender.com , eine von Benutzern erstellte Datenbank mit böswilligen Erweiterungen. Sie geben jedoch nicht an, wie oder warum eine bestimmte Erweiterung als Mal- oder Addware gekennzeichnet wurde. Daher sollte sie möglicherweise mit einem Körnchen Salz eingenommen werden.

  4. Die Leute hinter extensiondefender.com (wer auch immer sie sind) haben auch eine sehr coole kleine Erweiterung namens (drumroll) Extension Defender entwickelt . Auf diese Weise können Sie Ihre vorhandenen Erweiterungen nach bekannten "schlechten" durchsuchen und die Installation von Erweiterungen auf der schwarzen Liste blockieren.

Von den Erweiterungen in meinem OP sind sowohl Smooth Gestures (danke @Dennis) als auch Sexy Undo Close Tab Addware. Aufgrund des Quellcodes der support/background.jsDatei der letzteren bin ich mir ziemlich sicher, dass eine zufällig meine aktuelle Seite gekapert hat, aber ich werde ihr ein paar Tage Zeit geben, um sicherzugehen.

Eine weitere nützliche Erweiterung ist der Extensions Update Notifier (danke @Dennis ), der Sie anscheinend informiert, wann immer eine Erweiterung aktualisiert wurde, um den Schuldigen zu identifizieren, falls eine Aktualisierung diese Art von Verhalten hinzufügt.

terdon
quelle
OK, ich muss fragen, was zum Teufel ist sexy Tab schließen?
Slm
@slm heh, deshalb habe ich dafür gesorgt, dass der Name ein Link ist, also versteht niemand seinen Zweck falsch :). Es ist nur eine Erweiterung, bei der "geschlossene Tabs wieder geöffnet werden", und die Entwickler haben sich für diesen lächerlichen Namen entschieden.
Terdon
Geiger ist nur Windows BTW. Sie können mitmproxy unter Linux verwenden. stackoverflow.com/questions/2040642/…
slm
@slm nein, ist es nicht, sie haben eine Alpha-Version auf Mono-Basis, von der sie behaupten, dass sie unter Linux und OSX funktionieren soll. Es gibt einen Link dazu auf der Downloadseite.
Terdon
Wer ist David? : P
Dennis
4

Ich werde mich auf die Erkennungsmethoden konzentrieren.

Überprüfen Sie die Änderungsprotokolle

Dies scheint offensichtlich zu sein. Überprüfen Sie die Chrome-Erweiterungsseite auf Änderungsprotokolle. Vergleichen Sie, wann die Erweiterungen zuletzt aktualisiert wurden, mit dem Zeitpunkt, zu dem das Verhalten gestartet wurde. Dies ist ein guter Hinweis, wenn Sie die fehlerhafte Nebenstelle genau identifizieren möchten.

Analysieren Sie die Hintergrundskripte

Suchen Sie in der Chrome-Erweiterung manifest.json nach dem backgroundObjekt, etwa so:

  "background" : {
    "persistent" : true,
    "scripts" : [
        "js/jquery.js",
        "js/jQuery.loadScript.js",
        "js/i18n.js",
        "js/MangaElt.js",
        "js/mgEntry.js",
        "js/BSync.js",
        "js/analytics.js",
        "js/personalstat.js",
        "js/wssql.js",
        "js/amrcsql.js",
        "js/background.js"
    ]
  },

Diese Skripte werden normalerweise die ganze Zeit ausgeführt, während die Erweiterung aktiv ist und der häufigste Angriffsvektor ist. Analysieren des Textes für:

chrome.extension.sendRequest({action: "opentab"
chrome.tabs.create({
chrome.windows.create({

und die Domain-Namen (wie adnxs) ist ein guter Ansatz. Dies funktioniert nicht, wenn die Dateien in irgendeiner Weise verschleiert sind, was auch ein Hinweis darauf ist, dass etwas Fischartiges verdeckt ist.

Eliminierung durch Bruteforce

Die einfachere, aber in Ihrem Fall langwierige Methode besteht darin, eine der Erweiterungen nach der anderen zu deaktivieren, bis Sie durch Eliminierung den Schuldigen identifizieren.

Überprüfen Sie die Socket-Ereignisse

Dies ist die am weitesten fortgeschrittene Variante, stellt jedoch keine eindeutige Erweiterung dar, sondern eine Möglichkeit zum Sammeln von Informationen. Der einzige Nachteil besteht darin, dass Chrome / IUM möglicherweise Ereignisse entfernt, wenn der Arbeitsspeicher erschöpft ist und ein gewisser Overhead entsteht.

Vergleichen Sie Ihre Erweiterungen mit anderen Betroffenen

Wenn zwei Personen dasselbe Problem haben und nur eine Nebenstelle gemeinsam ist, können sie davon ausgehen, dass die Nebenstelle der Schuldige ist, und sie deaktivieren. Wenn das nicht funktioniert, ist die Erweiterung sauber und sie können sich mit anderen vergleichen.

Braiam
quelle
Hmm, netter Tipp zum Parsen des Hintergrundmaterials, wird das jetzt tun. Leider neigt das Ding dazu, einen vorhandenen Tab zu entführen, also keine opentaboder createnötig. Gibt es Hinweise darauf, wonach ich suchen sollte? So etwas wie eine GET-Anfrage, denke ich.
Terdon
@terdon Im Falle eines Highhacks des aktuellen Fensters würde ich stattdessen nach den Inhaltsskripten suchen. Warten Sie, ich werde einige Screenies bekommen
Braiam
Ja, nichts in den manifest.jsonAkten. Wo / was sind die Inhaltsskripte?
Terdon
1

Wenn Sie den Wine Windows Emulator installiert haben, ist er möglicherweise infiziert und Chrome wird geöffnet, da die Malware den Standardbrowser öffnet.

Sie können versuchen, das ~/.wineVerzeichnis zu verschieben / zu löschen und den Computer neu zu starten. Ich hatte vor ein paar Monaten das gleiche Problem und so habe ich es gelöst.

Im Nachhinein wünschte ich, ich hätte eine Kopie des Verzeichnisses aufbewahrt, um die Einzelheiten der Infektion zu bestimmen. Zu der Zeit wusste ich noch nicht, dass diese Methode funktionieren würde und wie umfangreich die Infektion war, also entschied ich mich, nur das Ganze zu löschen.

Jon Ruttan
quelle
0

Sind Sie sicher, dass es sich tatsächlich um Malware handelt? Es gab eine Flut von Anzeigen, die selbst Weiterleitungen usw. verursachten, und da sie in der Lage waren, einiges an JavaScript auszuführen, konnten sie dies mit Verzögerung tun. Die Tatsache, dass Ihr Anforderungs-Debugging zeigt, was meiner Meinung nach eine Anzeigenlieferungsplattform ist, lässt vermuten, dass es eine Möglichkeit gibt, danach zu suchen.

Ich würde einen Werbeblocker versuchen. (Ich bin mir nicht ganz sicher, was in diesen Tagen in Chrome gut ist.)

Zickzack
quelle
Ziemlich sicher, ich bekomme dieses Verhalten auf Websites, von denen ich ziemlich sicher bin, dass sie frei von Malware sind, zum Beispiel diese. Da ich genügend Repräsentanten habe, gibt es auf den SE-Sites, die ich häufig besuche, keine zusätzlichen Einträge, und ich erhalte weiterhin diese nervigen Weiterleitungen.
Terdon
Es sind nicht die Websites, auf denen Malware verbreitet ist. Es sind die von ihnen verwendeten Werbenetzwerke. Anzeigenkäufer haben Anzeigen
aufgekauft
Ja, aber da ich die Anzeigen nicht sehe, gehe ich davon aus, dass sie nicht in meinem Browser geschaltet werden. Nur neue Nutzer sehen Anzeigen.
Terdon
0

99% davon scheinen nur Windows zu sein - aber versuchen Sie trotzdem, diese Anleitung zu befolgen .

Anhand der von Ihnen veröffentlichten Informationen ist nicht zu erkennen, welche Erweiterung diese Probleme verursacht.

Viel Glück!

Chris
quelle
Danke, aber wie Sie sagten, das ist alles für Windows. Der einzige OS-agnostische Vorschlag ist, alle nicht von mir installierten Add-Ons zu entfernen (alle waren es).
Terdon
@terdon - Beginnen Sie mit der Aktualisierung der Erweiterungen, seit dieses Problem aufgetreten ist.
Ramhound
@terdon Es gibt viele Dinge, die mit dem Browser zu tun haben! Deaktivieren Sie alle Erweiterungen und bleiben Sie bei denjenigen, die Sie wirklich benötigen. Probieren Sie Firefox aus und prüfen Sie, ob es ähnliche Erweiterungen gibt. Überprüfen Sie alle Erweiterungen nacheinander bei Google. Vielleicht hat jemand ein ähnliches Problem gemeldet? Veröffentlichen Sie die Liste aller installierten Erweiterungen.
Chris
@ Ramhound danke, aber die meisten von ihnen wurden am selben Tag installiert.
Terdon
@ Chris Ich weiß, dass es spezifisch für Chrom ist, und genau das möchte ich vermeiden. Da es nur alle paar Tage vorkommt, kann das Debuggen eines nach dem anderen Monate dauern. Ich habe meine Liste der Erweiterungen zum OP hinzugefügt.
Terdon