Google 검색은 관찰되지 않은 경우에만 납치되었습니다. 디버거를 연결하면 정상적인 결과가 반환됩니다

나는 이것을 알아낼 수 없다. 검색 결과가 늦게 "다른"것으로 나타났습니다.

• Google 검색을 수행 할 때 로그인하지 않았지만 "이미지"또는 "비디오"를 클릭하면 로그인 한 것으로 표시됩니다.
• 검색 페이지의 사이드 바에는 위키 백과 정보가 없습니다.
• Ghostery 및 uBlock을 비활성화하면 많은 결과가 광고입니다.

개발자 도구를 확인하기로 결정하고 페이지에 SyntaxError가 있음을 알았고 클릭하면 실제로 Google 웹 주소를 대체하는 자바 스크립트 기능으로 이어집니다.

문제는 Chrome에서만 발생하는 것으로 보입니다. 파이어 폭스와 나란히 있습니다.

트래픽을 캡처하기 위해 Fiddler Web Debugger를 연결하여 리디렉션중인 위치를 확인할 수있었습니다. 그러나 웹 디버거를 연결하자마자 모두 사라지고 실제 검색 페이지가 제공됩니다 .... Fiddler가 캡처 할 때 페이지 소스는 완전히 다릅니다.

아래는이를 보여주는 화면 캡처 gifv입니다. 하이재킹 된 페이지로 시작하여 스케치가 추가 된 자바 스크립트 소스 파일 주위에 커서를 돌립니다. 그런 다음 Fiddler에 트래픽을 캡처하고 검색 결과를 새로 고치라고 지시합니다. 게재 된 페이지는 완전히 다릅니다. 마지막으로 트래픽 캡처를 다시 비활성화하고 페이지를 새로 고쳐 하이재킹 된 페이지를 표시하고 웹 주소를 대체해야하는 구문 오류가있는 기능으로 이동합니다.

http://i.imgur.com/gbWkkLp.gifv

Malwarebytes를 실행했는데 결과가 없습니다. Spybot은 몇 가지 공격을 받았지만 제거해도 문제가 해결되지 않았습니다. Google 제공 도구를 사용하여 크롬을 완전히 재설정했습니다. 청구서와 같은 다른 웹 프로필을 사용하면 검색 결과가 없습니다. 피들러를 활성화하면 갑자기 결과가 나타납니다.

에릭 로렌스 (Eric Lawrence) 피들러의 최초 개발자는 다음과 같이 지적한 것처럼 일부 악성 프로그램은 아마도 피들러를 가장 한 것일 수 있습니다.

다양한 악성 프로그램이 Fiddler의 사용 여부를 확인하고, 그렇다면 악의적 인 활동을 중단하여 자신의 행동을 숨기려고합니다.

^{_{( 소스 )}}

피들러는 웹 디버깅 도구입니다. 악의적 인 동작은 없으며 Telerik에서 다운로드 한 설치 관리자를 사용하여 개인적으로 설치하지 않으면 설치되지 않습니다. 여기에 설명 된 시나리오는 Fiddler처럼 보이게함으로써 탐지를 피하려는 악성 프로그램입니다.

^{_{( 소스 )}}

행동

악성 코드의 가장 분명한 징후는 Fiddler를 사용하여 트래픽을 캡처하지 않는 한 Chrome이 HTTPS 웹 사이트를 의도 한대로로드하지 않는다는 것입니다. Fiddler는 사용하지 않을 때 일반적인 웹 탐색을 방해하지 않습니다.

맬웨어가 스스로 숨기려면 Fiddler 프록시를 가로 채고 Fiddler 인증서의 개인 키로 HTTPS 트래픽을 사임해야합니다. 프록시 설정 을 변경하는 것은 쉽지 않으며 Fiddler 설치의 개인 키 사본 을 얻을 수 있습니다.

루트 인증서

컴퓨터에 Fiddler가 루트 인증서를 설치하여 HTTPS를 통해 전송되는 데이터 내용을 모니터링하기 위해 MITM ( Man-in-the-Middle )으로 삽입 할 수 있습니다 .

대조적 으로 https://www.google.com/ 은 일반적으로 신뢰되는 방식입니다.

컴퓨터는 DO_NOT_TRUST_FiddlerRoot운영 체제의 인증서 신뢰 저장소에 설치 되었기 때문에 인증서를 신뢰합니다.

HTTPS를 가로채는 프록시

운영 체제의 프록시 규칙이 아닌 자체 프록시 규칙을 사용하도록 구성 할 수있는 Mozilla Firefox에서 HTTPS가 올바르게 작동 함을 표시했습니다. Chrome은 다른 방법으로 운영 체제 프록시를 사용하기 쉬운 옵션을 사용하지 않습니다.

Fiddler의 운영 체제 수준 프록시를 통해 Fiddler는 이제 사이트를 계속 서비스하면서 암호화되지 않은 HTTPS 데이터를 캡처하는 MitM이 될 수 있습니다. Fiddler는 일부 웹 페이지를 가져온 다음 이전에 신뢰할 수있는 인증서를 사용하여 "www.google.com"으로 서명합니다 DO_NOT_TRUST_FiddlerRoot.

이러한 상황에서 맬웨어는 프록시와 인증서를 모두 대신하여 잘못된 사이트를 제공하는 동안을 (를) 표시 할 수 있습니다. 이로 인해 정교한 피싱 공격이 발생할 수 있습니다.

보안 문제

^{_{보안 스택 교환 관련 : 사용자 데스크톱에 SSL 가로 채기 프록시를 배포하는 소프트웨어 공급 업체가 발생하는 보안 위험}}

로 에릭 로렌스는 한 번 썼다 ,

피들러의 HTTPS 차단 기능은 보안에 민감한 사용자들 사이에서 눈썹을 높이게합니다.

그렇기 때문에 Fiddler는 HTTPS 트래픽을 가로 챌 때의 보안 영향에 대해 경고합니다.

사용자 오류 또는 맬웨어 설치로 Fiddler은 (는) 다양한 문제와 관련이 있습니다 :

• 알 수없는 IP에 대한 터널링을 보여주는 피들러
• 내 시스템에 설치된 DO_NOT_TRUST_FiddlerRoot 개인 인증서를 발견했습니다.
• 방법을 모르지만 컴퓨터에 Fiddler가 설치되어 있습니다 (설치를 승인하지 않았습니다)
• 썬더 버드 인증서 경고가 계속 나타납니다.
• PC의 프록시 설정이 무시 됨

피들러 자체는 유해한 프로그램은 아니지만, 오용과 오해로 인해 과거 나쁜 평판 과 바이러스가 피들러 인 척하고 있습니다 .

제거

컴퓨터가 일부 Fiddler 하이재커에 의해 손상되었는지는 모르겠지만 컴퓨터 를 닦고 다시 설치할 시간이 없다고 표시 했으므로 다음 단계를 수행하면 Fiddler를 제거하고 적절한 보안 웹 동작을 복원 할 수 있습니다. (특히 보안이 심각한 경우 나중에 비밀번호를 다시 설치하고 변경하는 것이 좋습니다. Spybot – Search & Destroy에서 일부 악성 코드를 발견했습니다.)

서문 : 피들러 구성 해제

원래 포스터 는 Fiddler 관련 문제를 해결하기 위해 다음과 같은 추가 단계 를 발견 했습니다.

궁극적으로 수정 사항은 다음과 같습니다. 설정-> 고급 설정 표시-> 네트워크 아래-> 프록시 설정 변경-> 고급-> 재설정

과

또한 Fiddler 설정에서 인증서를 제거하고 삭제하기 전에 HTTPS 트래픽을 해독 할 수있는 옵션을 비활성화했습니다.

피들러의 루트 인증서 제거

1. Win+를 누르십시오r
2. 열다: certmgr.msc
3. 모든 폴더를 살펴보고 DO_NOT_TRUST_FiddlerRoot인증서를 제거하십시오 .

피들러 제거

1. 제어판»프로그램»프로그램 및 기능으로 이동하십시오.
2. 피들러를 제거합니다. 한 출처에 따르면 Fiddler는 "FiddlerRoot"또는 "BrowserSafeguard"라고 할 수 있습니다.

프록시 설정 지우기

일반적으로 다른 프록시를 사용하지 않는다고 가정하면…

1. 제어판»인터넷 옵션으로 이동하십시오.
2. 인터넷 속성에서 "연결"탭으로 이동하십시오.
3. "LAN (Local Area Network) 설정"에서 "LAN 설정"을 클릭하십시오.
4. 프록시 설정을 지우고 다음과 같이 선택 해제하십시오.

멀웨어 제거

이전에 수퍼 유저 에서 제안한 대로 수정 된 HTTPS 웹 페이지를 표시 한 원래 맬웨어를 찾아 제거해야합니다.

자세한 조언 :
PC에서 악성 스파이웨어, 맬웨어, 애드웨어, 바이러스, 트로이 목마 또는 루트킷을 제거하려면 어떻게해야합니까?