La recherche Google n'a été piratée que lorsqu'elle n'était pas observée. Attacher un débogueur renvoie des résultats normaux

Je ne peux pas comprendre celui-ci. J'ai remarqué que mes résultats de recherche étaient un peu "différents" récemment.

• Je ne suis pas connecté lorsque je fais une recherche Google, mais si je clique sur "Images" ou "Vidéos", je suis affiché comme connecté.
• Il n'y a pas d'informations wikipedia dans la barre latérale de la page de recherche.
• Si je désactive Ghostery et uBlock, la plupart des résultats sont des publicités.

J'ai décidé de vérifier les outils de développement et j'ai remarqué qu'il y avait une SyntaxError dans la page, j'ai cliqué dessus et cela mène en fait à une fonction javascript qui remplace l'adresse Web de Google.

Le problème ne semble se produire que dans Chrome, voici un côte à côte avec Firefox:

J'ai essayé d'attacher Fiddler Web Debugger pour capturer le trafic afin que je puisse voir où je suis redirigé. Mais dès que j'attache un débogueur Web, tout disparaît et je reçois la page de recherche réelle ... La source de la page lorsque Fiddler capture est complètement différente.

Ci-dessous, une capture d'écran gifv le montrant. Cela commence par la page détournée et je tourne mon curseur autour de quelques fichiers source javascript supplémentaires fragmentaires. Je dis ensuite à Fiddler de capturer le trafic et de rafraîchir mes résultats de recherche. La page que je reçois est complètement différente. Enfin, je désactive à nouveau la capture du trafic et actualise la page pour afficher la page détournée et vous amène à la fonction avec l'erreur de syntaxe qui est censée remplacer l'adresse Web.

http://i.imgur.com/gbWkkLp.gifv

J'ai couru Malwarebytes et n'ai obtenu aucun résultat. Spybot a trouvé quelques hits mais les supprimer n'a pas résolu le problème. J'ai également réinitialisé complètement le chrome à l'aide de l'outil fourni par Google. Si j'utilise un profil Web différent, comme celui dans lequel je fais mes factures, je n'obtiens aucun résultat de recherche. Si j'active le violoneux, tout à coup, j'obtiens des résultats.

Certains logiciels malveillants se faisaient probablement passer pour Fiddler , comme l'a souligné le développeur original de Fiddler, Eric Lawrence :

Divers logiciels malveillants vérifient si Fiddler est en cours d'utilisation et, dans l'affirmative, ils arrêtent de faire leurs activités malveillantes afin de tenter de cacher leurs actions.

^{_{( source )}}

Fiddler est un outil de débogage web. Il n'a aucun comportement malveillant, et il n'est jamais installé à moins que vous ne l'installiez personnellement à l'aide du programme d'installation téléchargé depuis Telerik. Le scénario décrit ici est un logiciel malveillant qui tente d'éviter la détection en se faisant passer pour Fiddler.

^{_{( source )}}

Comportement

Le signe le plus évident de logiciels malveillants est que Google Chrome ne charge pas les sites Web HTTPS comme prévu, sauf si vous utilisez Fiddler pour capturer le trafic. Fiddler n'est pas conçu pour interférer avec votre navigation Web normale lorsqu'il n'est pas utilisé.

Pour que le malware se cache, il doit détourner le proxy Fiddler et résigner le trafic HTTPS avec la clé privée du certificat Fiddler. Il est trivial de modifier les paramètres du proxy et il est possible d' obtenir une copie de la clé privée de votre installation Fiddler .

Certificat racine

Vous avez demandé à Fiddler d'installer un certificat racine sur votre ordinateur, ce qui lui permet de s'insérer en tant qu'homme de milieu (MitM) pour surveiller le contenu des données envoyées via HTTPS:

En revanche, voici comment https://www.google.com/ est normalement approuvé:

Votre ordinateur approuve le DO_NOT_TRUST_FiddlerRootcertificat, car il a été installé dans le magasin de certificats de confiance de votre système d'exploitation.

Proxy pour intercepter HTTPS

Vous avez indiqué que HTTPS se comporte correctement sur Mozilla Firefox, qui peut être configuré pour utiliser ses propres règles de proxy indépendantes plutôt que les règles de proxy du système d'exploitation. Google Chrome utilise le proxy du système d'exploitation sans option simple pour faire autrement.

En passant par le proxy au niveau du système d'exploitation de Fiddler, Fiddler peut maintenant être le MitM pour capturer des données HTTPS non cryptées tout en continuant à servir le site. Fiddler va chercher une page Web, signe alors comme « www.google.com » à l' aide du certificat qui a été fait confiance plus tôt, DO_NOT_TRUST_FiddlerRoot.

Dans ces circonstances, les logiciels malveillants peuvent prendre en charge le proxy et le certificat pour vous nourrir du mauvais site tout en vous montrant le . Je peux voir cela conduire à des attaques de phishing élaborées.

Problèmes de sécurité

^{_{Liés à Security Stack Exchange: quels risques de sécurité sont posés par les éditeurs de logiciels déployant des proxys d'interception SSL sur les bureaux des utilisateurs}}

Comme l' a écrit Eric Lawrence ,

Les capacités d'interception HTTPS de Fiddler (à juste titre) soulèvent les sourcils parmi les utilisateurs soucieux de la sécurité.

C'est pourquoi Fiddler met en garde contre les implications en matière de sécurité de l'interception du trafic HTTPS:

Par erreur d'utilisateur ou installation de logiciel malveillant, Fiddler a été associé à divers problèmes:

• Fiddler montrant le tunneling vers des IP inconnues
• trouvé un tas de certificats personnels DO_NOT_TRUST_FiddlerRoot installés sur mon système
• Je ne sais pas comment, mais j'ai eu Fiddler sur mon ordinateur (je n'ai approuvé aucune installation)
• L'alerte de certificat Thunderbird continue d'apparaître
• Les paramètres de proxy du PC sont remplacés

Bien que Fiddler lui-même ne soit pas un programme nuisible, sa mauvaise utilisation et ses malentendus ont conduit à une mauvaise réputation passée et à des virus se faisant passer pour Fiddler .

Suppression

Je ne sais pas si votre ordinateur a été compromis par un pirate de l'air Fiddler, mais vous avez indiqué que vous n'avez pas le temps de nettoyer votre ordinateur et de le réinstaller, donc j'espère que les étapes suivantes peuvent se débarrasser de Fiddler et restaurer un comportement Web sécurisé approprié. (Je recommanderais toujours de réinstaller et de modifier vos mots de passe par la suite, surtout si vous êtes sérieux au sujet de la sécurité. Vous avez écrit que Spybot - Search & Destroy a trouvé des logiciels malveillants.)

Avant-propos: déconfigurer Fiddler

L'affiche originale a découvert ces étapes supplémentaires pour résoudre son problème avec Fiddler:

En fin de compte, ce qui a été résolu: Paramètres -> Afficher les paramètres avancés -> Sous le réseau -> Modifier les paramètres de proxy -> Avancé -> Réinitialiser

et

Toujours dans les paramètres de Fiddler, j'ai désactivé les options lui permettant de déchiffrer le trafic HTTPS avant de désinstaller et de réinitialiser les certificats.

Supprimer le (s) certificat (s) racine du violoneux

1. Appuyez sur Win+r
2. Ouvert: certmgr.msc
3. Parcourez tous les dossiers et supprimez le DO_NOT_TRUST_FiddlerRootcertificat.

Désinstaller Fiddler

1. Allez dans Panneau de configuration »Programmes» Programmes et fonctionnalités.
2. Désinstallez Fiddler. Une source dit que Fiddler peut être appelé "FiddlerRoot" ou "BrowserSafeguard".

Effacer les paramètres de proxy

En supposant que vous n'utilisez normalement pas de proxy différent…

1. Allez dans Panneau de configuration »Options Internet.
2. Dans les propriétés Internet, accédez à l'onglet "Connexions".
3. Sous "Paramètres du réseau local (LAN)", cliquez sur "Paramètres LAN".
4. Effacez et décochez vos paramètres proxy comme suit:

Supprimer les logiciels malveillants

Comme suggéré précédemment sur Super User , vous devriez essayer de trouver et de supprimer le malware d'origine qui affichait les pages Web HTTPS modifiées.

Conseils détaillés:
comment supprimer les logiciels espions, logiciels malveillants, logiciels publicitaires, virus, chevaux de Troie ou rootkits malveillants de mon PC?