Je ne peux pas comprendre celui-ci. J'ai remarqué que mes résultats de recherche étaient un peu "différents" récemment.
- Je ne suis pas connecté lorsque je fais une recherche Google, mais si je clique sur "Images" ou "Vidéos", je suis affiché comme connecté.
- Il n'y a pas d'informations wikipedia dans la barre latérale de la page de recherche.
- Si je désactive Ghostery et uBlock, la plupart des résultats sont des publicités.
J'ai décidé de vérifier les outils de développement et j'ai remarqué qu'il y avait une SyntaxError dans la page, j'ai cliqué dessus et cela mène en fait à une fonction javascript qui remplace l'adresse Web de Google.
Le problème ne semble se produire que dans Chrome, voici un côte à côte avec Firefox:
J'ai essayé d'attacher Fiddler Web Debugger pour capturer le trafic afin que je puisse voir où je suis redirigé. Mais dès que j'attache un débogueur Web, tout disparaît et je reçois la page de recherche réelle ... La source de la page lorsque Fiddler capture est complètement différente.
Ci-dessous, une capture d'écran gifv le montrant. Cela commence par la page détournée et je tourne mon curseur autour de quelques fichiers source javascript supplémentaires fragmentaires. Je dis ensuite à Fiddler de capturer le trafic et de rafraîchir mes résultats de recherche. La page que je reçois est complètement différente. Enfin, je désactive à nouveau la capture du trafic et actualise la page pour afficher la page détournée et vous amène à la fonction avec l'erreur de syntaxe qui est censée remplacer l'adresse Web.
http://i.imgur.com/gbWkkLp.gifv
J'ai couru Malwarebytes et n'ai obtenu aucun résultat. Spybot a trouvé quelques hits mais les supprimer n'a pas résolu le problème. J'ai également réinitialisé complètement le chrome à l'aide de l'outil fourni par Google. Si j'utilise un profil Web différent, comme celui dans lequel je fais mes factures, je n'obtiens aucun résultat de recherche. Si j'active le violoneux, tout à coup, j'obtiens des résultats.
la source
Réponses:
Certains logiciels malveillants se faisaient probablement passer pour Fiddler , comme l'a souligné le développeur original de Fiddler, Eric Lawrence :
( source )
( source )
Comportement
Le signe le plus évident de logiciels malveillants est que Google Chrome ne charge pas les sites Web HTTPS comme prévu, sauf si vous utilisez Fiddler pour capturer le trafic. Fiddler n'est pas conçu pour interférer avec votre navigation Web normale lorsqu'il n'est pas utilisé.
Pour que le malware se cache, il doit détourner le proxy Fiddler et résigner le trafic HTTPS avec la clé privée du certificat Fiddler. Il est trivial de modifier les paramètres du proxy et il est possible d' obtenir une copie de la clé privée de votre installation Fiddler .
Certificat racine
Vous avez demandé à Fiddler d'installer un certificat racine sur votre ordinateur, ce qui lui permet de s'insérer en tant qu'homme de milieu (MitM) pour surveiller le contenu des données envoyées via HTTPS:
En revanche, voici comment https://www.google.com/ est normalement approuvé:
Votre ordinateur approuve le
DO_NOT_TRUST_FiddlerRoot
certificat, car il a été installé dans le magasin de certificats de confiance de votre système d'exploitation.Proxy pour intercepter HTTPS
Vous avez indiqué que HTTPS se comporte correctement sur Mozilla Firefox, qui peut être configuré pour utiliser ses propres règles de proxy indépendantes plutôt que les règles de proxy du système d'exploitation. Google Chrome utilise le proxy du système d'exploitation sans option simple pour faire autrement.
En passant par le proxy au niveau du système d'exploitation de Fiddler, Fiddler peut maintenant être le MitM pour capturer des données HTTPS non cryptées tout en continuant à servir le site. Fiddler va chercher une page Web, signe alors comme « www.google.com » à l' aide du certificat qui a été fait confiance plus tôt,
DO_NOT_TRUST_FiddlerRoot
.Dans ces circonstances, les logiciels malveillants peuvent prendre en charge le proxy et le certificat pour vous nourrir du mauvais site tout en vous montrant le . Je peux voir cela conduire à des attaques de phishing élaborées.
Problèmes de sécurité
Liés à Security Stack Exchange: quels risques de sécurité sont posés par les éditeurs de logiciels déployant des proxys d'interception SSL sur les bureaux des utilisateurs
Comme l' a écrit Eric Lawrence ,
C'est pourquoi Fiddler met en garde contre les implications en matière de sécurité de l'interception du trafic HTTPS:
Par erreur d'utilisateur ou installation de logiciel malveillant, Fiddler a été associé à divers problèmes:
Bien que Fiddler lui-même ne soit pas un programme nuisible, sa mauvaise utilisation et ses malentendus ont conduit à une mauvaise réputation passée et à des virus se faisant passer pour Fiddler .
Suppression
Je ne sais pas si votre ordinateur a été compromis par un pirate de l'air Fiddler, mais vous avez indiqué que vous n'avez pas le temps de nettoyer votre ordinateur et de le réinstaller, donc j'espère que les étapes suivantes peuvent se débarrasser de Fiddler et restaurer un comportement Web sécurisé approprié. (Je recommanderais toujours de réinstaller et de modifier vos mots de passe par la suite, surtout si vous êtes sérieux au sujet de la sécurité. Vous avez écrit que Spybot - Search & Destroy a trouvé des logiciels malveillants.)
Avant-propos: déconfigurer Fiddler
L'affiche originale a découvert ces étapes supplémentaires pour résoudre son problème avec Fiddler:
et
Supprimer le (s) certificat (s) racine du violoneux
certmgr.msc
DO_NOT_TRUST_FiddlerRoot
certificat.Désinstaller Fiddler
Effacer les paramètres de proxy
En supposant que vous n'utilisez normalement pas de proxy différent…
Supprimer les logiciels malveillants
Comme suggéré précédemment sur Super User , vous devriez essayer de trouver et de supprimer le malware d'origine qui affichait les pages Web HTTPS modifiées.
Conseils détaillés:
comment supprimer les logiciels espions, logiciels malveillants, logiciels publicitaires, virus, chevaux de Troie ou rootkits malveillants de mon PC?
la source