Ich kann das nicht herausfinden. Mir ist aufgefallen, dass meine Suchergebnisse in letzter Zeit etwas „anders“ waren.
- Ich bin nicht angemeldet, wenn ich eine Google-Suche durchführe, aber wenn ich auf „Bilder“ oder „Videos“ klicke, werde ich als angemeldet angezeigt.
- In der Seitenleiste der Suchseite gibt es keine Wikipedia-Informationen.
- Wenn ich Ghostery und uBlock deaktiviere, sind viele der Ergebnisse Anzeigen.
Ich beschloss, die Entwicklertools zu überprüfen und bemerkte, dass die Seite einen Syntaxfehler aufwies. Ich klickte darauf und er führte tatsächlich zu einer JavaScript-Funktion, die die Google-Webadresse ersetzt.
Das Problem scheint nur in Chrome aufzutreten, hier ein Vergleich mit Firefox:
Ich habe versucht, den Fiddler Web Debugger anzuhängen, um den Datenverkehr zu erfassen, damit ich sehen kann, wohin ich umgeleitet werde.Aber sobald ich einen Webdebugger anschließe, verschwindet alles und mir wird die eigentliche Suchseite angezeigt …Die Seitenquelle ist beim Erfassen durch Fiddler völlig anders.
Unten sehen Sie ein Bildschirmfoto-GIFV, das dies zeigt. Es beginnt mit der entführten Seite und ich kreise mit meinem Cursor um einige fragwürdige zusätzliche JavaScript-Quelldateien. Dann weise ich Fiddler an, den Datenverkehr zu erfassen und meine Suchergebnisse zu aktualisieren. Die Seite, die mir angezeigt wird, ist völlig anders. Schließlich deaktiviere ich die Datenverkehrserfassung erneut und aktualisiere die Seite, um die entführte Seite anzuzeigen und Sie zu der Funktion mit dem Syntaxfehler zu führen, die die Webadresse ersetzen soll.
http://i.imgur.com/gbWkkLp.gifv
Ich habe Malwarebytes ausgeführt und keine Ergebnisse erhalten. Spybot hat ein paar Treffer angezeigt, aber deren Entfernung hat das Problem nicht behoben. Ich habe Chrome außerdem mit dem von Google bereitgestellten Tool vollständig zurückgesetzt. Wenn ich ein anderes Webprofil verwende, beispielsweise das, in dem ich meine Rechnungen bearbeite, erhalte ich keine Suchergebnisse. Wenn ich Fiddler aktiviere, erhalte ich plötzlich Ergebnisse.
Antwort1
Einige Schadsoftware hat sich wahrscheinlich alsGeiger, als ursprünglicher Entwickler von Fiddler,Eric Lawrence, wies darauf hin:
Verschiedene Schadsoftwareprogramme prüfen, ob Fiddler verwendet wird. Ist dies der Fall, stellen sie ihre bösartigen Aktivitäten ein, um zu versuchen, ihre Aktionen zu verbergen.
(Quelle)
Fiddler ist ein Web-Debugging-Tool. Es weist keinerlei schädliches Verhalten auf und wird niemals installiert, es sei denn, Sie installieren es persönlich mit dem von Telerik heruntergeladenen Installationsprogramm. Das hier beschriebene Szenario ist ein Stück Malware, das versucht, der Erkennung zu entgehen, indem es sich wie Fiddler ausgibt.
(Quelle)
Verhalten
Das deutlichste Anzeichen für Malware ist, dass Google Chrome HTTPS-Websites nicht wie vorgesehen lädt, es sei denn, Sie verwenden Fiddler zum Erfassen des Datenverkehrs. Fiddler ist nicht dafür ausgelegt, Ihr normales Surfen im Internet zu beeinträchtigen, wenn es nicht verwendet wird.
Damit sich die Malware verstecken kann, muss sie den Fiddler-Proxy kapern und den HTTPS-Verkehr mit dem privaten Schlüssel des Fiddler-Zertifikats unterzeichnen. Es ist trivial,Ändern Sie die Proxy-Einstellungen, und es ist möglich,Erhalten Sie eine Kopie des privaten Schlüssels Ihrer Fiddler-Installation.
Stammzertifikat
Sie haben Fiddler ein Stammzertifikat auf Ihrem Computer installieren lassen, das es ihm ermöglicht, sich alsder Mann in der Mitte(MitM) zur Überwachung der über HTTPS gesendeten Dateninhalte:
Im Gegensatz dazu, hier ist wiehttps://www.google.com/wird normalerweise vertraut:
Ihr Computer vertraut dem DO_NOT_TRUST_FiddlerRootZertifikat, da es im vertrauenswürdigen Zertifikatspeicher Ihres Betriebssystems installiert wurde.
Proxy zum Abfangen von HTTPS
Sie haben angegeben, dass HTTPS bei Mozilla Firefox ordnungsgemäß funktioniert. Dieser kann so konfiguriert werden, dass er seine eigenen unabhängigen Proxy-Regeln anstelle der Proxy-Regeln des Betriebssystems verwendet. Google Chrome verwendet den Proxy des Betriebssystems, ohne dass eine einfache Möglichkeit besteht, dies zu ändern.
Über Fiddlers Proxy auf Betriebssystemebene kann Fiddler nun als MitM unverschlüsselte HTTPS-Daten erfassen und gleichzeitig die Site bereitstellen. Fiddler ruft eine Webseite ab und signiert sie dann als „www.google.com“ unter Verwendung des zuvor als vertrauenswürdig eingestuften Zertifikats DO_NOT_TRUST_FiddlerRoot.
Unter diesen Umständen kann Malware sowohl den Proxy als auch das Zertifikat übernehmen, um Ihnen die falsche Site zu liefern, während Sie weiterhin die
. Ich kann mir vorstellen, dass dies zu ausgeklügelten Phishing-Angriffen führt.
Sicherheitsbedenken
Verwandte Themen auf Security Stack Exchange:Welche Sicherheitsrisiken birgt der Einsatz von SSL-Intercepting-Proxys auf Benutzer-Desktops?
AlsEric Lawrence schrieb einmal,
Die HTTPS-Abfangfunktionen von Fiddler sorgen bei sicherheitsbewussten Benutzern (zu Recht) für Stirnrunzeln.
Aus diesem Grund warnt Fiddler vor den Sicherheitsauswirkungen des Abfangens von HTTPS-Verkehr:
Aufgrund von Benutzerfehlern oder der Installation von Malware wurden mit Fiddler verschiedene Probleme in Verbindung gebracht:
- Fiddler zeigt Tunneling zu unbekannten IPs
- habe eine Reihe von DO_NOT_TRUST_FiddlerRoot-Zertifikaten auf meinem System gefunden
- Ich weiß nicht wie, aber ich habe Fiddler auf meinem Computer (ich habe keine Installation genehmigt)
- Thunderbird-Zertifikatswarnung wird immer wieder angezeigt
- Die Proxy-Einstellungen des PCs werden überschrieben
Obwohl Fiddler selbst kein schädliches Programm ist, führten sein Missbrauch und seine Missverständnisse in der Vergangenheit zuschlechter RufUndViren, die sich als Fiddler ausgeben.
Entfernung
Ich weiß nicht, ob Ihr Computer von einem Fiddler-Hijacker kompromittiert wurde, aberdu hast angegebendass Sie keine Zeit haben, Ihren Computer zu löschen und neu zu installieren. Hoffentlich können die folgenden Schritte Fiddler entfernen und ein ordnungsgemäßes, sicheres Webverhalten wiederherstellen. (Ich würde trotzdem empfehlen, die Software neu zu installieren und anschließend Ihre Passwörter zu ändern, insbesondere wenn Ihnen die Sicherheit wichtig ist. Sie haben geschrieben, dass Spybot – Search & Destroy Malware gefunden hat.)
Vorwort: Fiddler dekonfigurieren
Der ursprüngliche Poster entdecktediese zusätzlichen Schritteum sein Problem mit Fiddler zu lösen:
Letztendlich wurde das Problem durch Folgendes behoben: Einstellungen -> Erweiterte Einstellungen anzeigen -> Unter Netzwerk -> Proxy-Einstellungen ändern -> Erweitert -> Zurücksetzen
Außerdem habe ich in den Fiddler-Einstellungen die Optionen deaktiviert, die die Entschlüsselung des HTTPS-Verkehrs vor der Deinstallation und erneuten Löschung der Zertifikate ermöglichen.
Entfernen Sie Fiddlers Stammzertifikat(e)
- Drücken Sie Win+r
- Offen:
certmgr.msc - Durchsuchen Sie alle Ordner und entfernen Sie das
DO_NOT_TRUST_FiddlerRootZertifikat.
Deinstallieren Sie Fiddler
- Gehen Sie zu Systemsteuerung » Programme » Programme und Funktionen.
- Deinstallieren Sie Fiddler. Eine Quellesagt, dass Fiddler „FiddlerRoot“ oder „BrowserSafeguard“ heißen könnte.
Proxy-Einstellungen löschen
Vorausgesetzt, Sie verwenden im Normalfall keinen anderen Proxy…
- Gehen Sie zu Systemsteuerung » Internetoptionen.
- Gehen Sie in den Interneteigenschaften auf die Registerkarte „Verbindungen“.
- Klicken Sie unter „Einstellungen für lokales Netzwerk (LAN)“ auf „LAN-Einstellungen“.
- Löschen und deaktivieren Sie Ihre Proxy-Einstellungen wie folgt:
Malware entfernen
Alszuvor vorgeschlagen auf Super Usersollten Sie versuchen, die ursprüngliche Malware zu finden und zu entfernen, die geänderte HTTPS-Webseiten angezeigt hat.
Detaillierte Beratung:
Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?