Parece que fui infectado por malware. Especificamente, de vez em quando (geralmente uma vez a cada poucos dias) sou redirecionado para uma página que me pede para baixar algo, geralmente uma "nova versão do Flash". Presumivelmente, não é nada disso, mas na verdade é algum tipo de vírus ou trojan.
Estou usando google-chromea versão 30.0.1599.114 no Debian Linux e tenho certeza de que isso é causado por uma extensão. Eu sei que poderia simplesmente desinstalar minhas extensões ou excluir minha ~/.config/google-chromepasta, mas prefiro não fazer isso. Gostaria de identificar a extensão que está causando isso e remover apenas isso.
Ao tentar depurar isso (obrigado @Braiam), verifiquei o registrador de eventos chrome://net-internals/#eventse procurei um dos URLs para os quais fui redirecionado:
O conteúdo do chrome://net-internals/#eventsé:
122667: URL_REQUEST
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.358
t=1393864121358 [st= 0] +REQUEST_ALIVE [dt=334]
t=1393864121359 [st= 1] +URL_REQUEST_START_JOB [dt=332]
--> load_flags = 134349184 (ENABLE_LOAD_TIMING | ENABLE_UPLOAD_PROGRESS | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
--> method = "GET"
--> priority = 2
--> url = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121359 [st= 1] HTTP_CACHE_GET_BACKEND [dt=0]
t=1393864121359 [st= 1] HTTP_CACHE_OPEN_ENTRY [dt=0]
--> net_error = -2 (ERR_FAILED)
t=1393864121359 [st= 1] HTTP_CACHE_CREATE_ENTRY [dt=0]
t=1393864121359 [st= 1] HTTP_CACHE_ADD_TO_ENTRY [dt=0]
t=1393864121359 [st= 1] +HTTP_STREAM_REQUEST [dt=1]
t=1393864121360 [st= 2] HTTP_STREAM_REQUEST_BOUND_TO_JOB
--> source_dependency = 122670 (HTTP_STREAM_JOB)
t=1393864121360 [st= 2] -HTTP_STREAM_REQUEST
t=1393864121360 [st= 2] +HTTP_TRANSACTION_SEND_REQUEST [dt=0]
t=1393864121360 [st= 2] HTTP_TRANSACTION_SEND_REQUEST_HEADERS
--> GET /p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980 HTTP/1.1
Host: cdn.adnxs.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.114 Safari/537.36
Accept: */*
DNT: 1
Referer: http://ib.adnxs.com/tt?id=2301980&cb=1393864120&referrer=http://fra1.ib.adnxs.com/if?enc=gbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.&pubclick=http://fra1.ib.adnxs.com/click?XkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA./cnd%3D!8gXSNwiT18QBEIujlwYY0cEVIAA./referrer%3Dhttp://www.imgclck.com/serve/imgclck.php/clickenc%3Dhttp://optimized-by.rubiconproject.com/t/9164/15602/101258-2.3581666.3755480?url%3D&cnd=%218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.&ccd=%21vwV6NgiCtsABEL3CkgYYt5YRIAA.&udj=uf%28%27a%27%2C+279660%2C+1393864119%29%3Buf%28%27c%27%2C+3152642%2C+1393864119%29%3Buf%28%27r%27%2C+12886333%2C+1393864119%29%3B&vpid=77&apid=189016&referrer=http%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php&media_subtypes=1&ct=0&dlo=1&pubclick=http://fra1.ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAALTIdr6fGus_AAAAAAAAAAAAAAAAAAAAAA-Oj4oIzbJcljpJTzhxcH-4rRRTAAAAANYjIwB6AgAAEAkAAAIAAAAfKcUAD5wFAAAAAQBVU0QAVVNEANgCWgCqqwAAtdQAAQUCAQIAAIwA6xZV3wAAAAA./cnd=%21GgafOwjH0sYBEJ_SlAYYj7gWIAE./referrer=http%3A%2F%2Ffra1.ib.adnxs.com%2Fif%3Fenc%3DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%26pubclick%3Dhttp%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%2Fcnd%253D%218gXSNwiT18QBEIujlwYY0cEVIAA.%2Freferrer%253Dhttp%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php%2Fclickenc%253Dhttp%3A%2F%2Foptimized-by.rubiconproject.com%2Ft%2F9164%2F15602%2F101258-2.3581666.3755480%3Furl%253D%26cnd%3D%25218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.%26ccd%3D%2521vwV6NgiCtsABEL3CkgYYt5YRIAA.%26udj%3Duf%2528%2527a%2527%252C%2B279660%252C%2B1393864119%2529%253Buf%2528%2527c%2527%252C%2B3152642%252C%2B1393864119%2529%253Buf%2528%2527r%2527%252C%2B12886333%252C%2B1393864119%2529%253B%26vpid%3D77%26apid%3D189016%26referrer%3Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%26media_subtypes%3D1%26ct%3D0%26dlo%3D1/clickenc=
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8,fr;q=0.6
Cookie: __gads=ID=386c1f6bc0285adb:T=1390666421:S=ALNI_MZXJdGrAsWELFKRsS7QcqnPTkuaMw; uuid2=9182964126870747798; sess=1; icu=ChIIr54TEAYYASAAKAEwu8_EmAUKEgiCyRUQBhgDIAAoAzDGkb-XBQoSCKraFRAGGAEgACgBMIyKv5cFChII5I8WEAYYASAAKAEw0szplwUKEgjXlhYQBhgCIAAoAjDFvM2YBQoSCP7-CBAKGAUgBSgFMMjU0pgFChIIpogJEAoYByAHKAcwqtXSmAUKEgiDtwoQChgdIB0oHTCx29KYBQoSCNuECxAKGAUgBSgFMPbX0pgFChII0aELEAoYASABKAEwuc3SmAUKEgjLzwsQChgBIAEoATDrzNKYBQoSCK7fCxAKGAEgASgBMJfH0pgFChII0eQLEAoYASABKAEw5czSmAUKEgi78AsQChgHIAcoBzDwyNKYBQoSCL_yCxAKGAEgASgBMKzV0pgFChIIkoAMEAoYAiACKAIwrdvSmAUKEgi3hQ0QChgBIAEoATCv1dKYBQoSCMWnDhAKGAcgBygHMOzY0pgFChII_KcOEAoYBSAFKAUwisHSmAUKEgiIqA4QChgEIAQoBDCr1dKYBQoSCJ7pDhAKGAUgBSgFMMnK0pgFChII3ukOEAoYICAgKCAwuNvSmAUKEgi0hw8QChgBIAEoATC2ydKYBQoSCOeVDxAKGAUgBSgFMMnK0pgFChII_J4PEAoYASABKAEwrtvSmAUKEgi_lxAQChgDIAMoAzC8zdKYBQoSCNCkEBAKGAIgAigCML3N0pgFChII6acQEAoYBiAGKAYw5dfSmAUKEgjpsRAQChgGIAYoBjCv1dKYBQoSCMy5EBAKGAEgASgBMO3U0pgFChII1uoQEAoYASABKAEwstXSmAUKEgipghEQChgIIAgoCDCJy9KYBQoSCIaeERAKGAQgBCgEMOzY0pgFChIIh54REAoYAyADKAMw79jSmAUKEgjJpREQChgBIAEoATCbytKYBQoSCI-yERAKGAEgASgBMInL0pgFChIIqbcREAoYAiACKAIwisvSmAUKEgievhEQChgBIAEoATCtw9KYBQoSCP7GERAKGAYgBigGMNzT0pgFChIIofMREAoYAyADKAMwttHSmAUKEgjK-xEQChgCIAIoAjCx1dKYBQoSCJ6BEhAKGBsgGygbMNvX0pgFChII9ogSEAoYBiAGKAYw18rSmAUKEgjvmRIQChgDIAMoAzDP2dKYBQoSCI2qEhAKGAQgBCgEMLXJ0pgFChIInLASEAoYAiACKAIw0srSmAUKEgjXsRIQChgCIAIoAjDYytKYBQoSCKO0EhAKGAMgAygDMKjV0pgFChIIvrQSEAoYByAHKAcw19jSmAUKEgjFthIQChgCIAIoAjD0zNKYBQoSCLHAEhAKGAEgASgBMKDE0pgFChIIqswSEAoYASABKAEwzsrSmAUKEgiv0hIQChgDIAMoAzCPwdKYBQoSCOTYEhAKGAEgASgBMLTV0pgFChIIrNkSEAoYByAHKAcw7MLSmAUKEgj-2xIQChgDIAMoAzCx1dKYBQoSCInfEhAKGAIgAigCMMDN0pgFChIIxuASEAoYByAHKAcw3dnSmAUKFQj14BIQChjIASDIASjIATC429KYBQoSCPfgEhAKGAEgASgBMMDN0pgFChII9-ISEAoYBCAEKAQw5djSmAUKEgjw5BIQChgDIAMoAzD4wdKYBQoSCJXqEhAKGAMgAygDMI3F0pgFChII6uwSEAoYAiACKAIwpNLSmAUKEgjB8BIQChgGIAYoBjC_zdKYBQoSCOTyEhAKGAIgAigCMPXM0pgFChII5fISEAoYAyADKAMw-czSmAUKEgiG8xIQChgHIAcoBzDQ2dKYBQoSCIuJExAKGBMgEygTMMTW0pgFChIIoIwTEAoYBSAFKAUw7dTSmAUKEgjDohMQChgBIAEoATC21dKYBQoSCI-wExAKGAUgBSgFMLrN0pgFChIIxLATEAoYBiAGKAYwqtXSmAUKEgjIsBMQChgDIAMoAzDzzNKYBQoSCLyyExAKGAQgBCgEMOnL0pgFChIIvrITEAoYASABKAEw2cnSmAUKEgj6shMQChgBIAEoATDbx9KYBQoSCMi2ExAKGAEgASgBMNnG0pgFChII5bgTEAoYAiACKAIwhNfSmAUKEgiXuRMQChgEIAQoBDDU2NKYBQoSCIq-ExAKGAYgBigGMMfC0pgFChIInsITEAoYASABKAEw2cbSmAUKEgibxRMQChgGIAYoBjCE0dKYBQoSCP_FExAKGAIgAigCMOjM0pgFChIIkcYTEAoYBCAEKAQwz8fSmAUKEgi3xhMQChgBIAEoATCfydKYBQoSCOvGExAKGAEgASgBMLjb0pgFChIIx8gTEAoYBCAEKAQw6NTSmAUKEgiFyhMQChgBIAEoATDTzNKYBQoSCI_KExAKGAIgAigCMMbU0pgFChIIu9ETEAoYAyADKAMw2sfSmAUKEgjr2BMQChgCIAIoAjC21dKYBQoSCIbbExAKGAIgAigCMLnb0pgFChIIzuUTEAoYASABKAEw8MzSmAUKEgj76RMQChgCIAIoAjCqydKYBQoSCIHrExAKGAEgASgBMKrJ0pgFELnb0pgFGNYE; anj=dTM7k!M4.g1IKw2hK`RZ[+9f#Abz#5Z8>#V-^@!KG9XLO4442ch)Pc]jvxZ!#GhOwx*meAdp/D)elWNRR%-I!MOpSn=J+VCrW%0=hj]Bz32M!LSOQ5gll*LP_br1!?zqWv$YT0!S8!Ssqbx<[gw>6wFG2.OXE$1'cEc8BdiTCWLi:P+XwDKQDr`LmI$bR^3u%?co]YbrY[FD44<J(CU/Gn<5H=tP`n<jx[Cz6px:fcFXbqHccp2?vY*$/m>4GqE.2:v`'pIRgJ@wKuwpOTY'2wRpvC`e.1o[gHdch:d8Ly_dx!x3SeM0^!qrZIi%XQ$0pC/UUYEnNS-^j>32us+UP1VB_*ML]?KovH`x8g7%)dRu@#?pr+Lx<$9w@Af%inZIpkFAP#Y`t[+c'OBbc?!FUlhh4fF<-9S<1`W1<W3_z!``x7Jhjeh
t=1393864121360 [st= 2] -HTTP_TRANSACTION_SEND_REQUEST
t=1393864121360 [st= 2] +HTTP_TRANSACTION_READ_HEADERS [dt=330]
t=1393864121360 [st= 2] HTTP_STREAM_PARSER_READ_HEADERS [dt=330]
t=1393864121690 [st=332] HTTP_TRANSACTION_READ_RESPONSE_HEADERS
--> HTTP/1.1 200 OK
Server: Apache
ETag: "d932a372371bd0a47ba7e2a73649a8d0:1393776550"
Last-Modified: Sun, 02 Mar 2014 16:09:10 GMT
Accept-Ranges: bytes
Content-Length: 5255
Content-Type: application/x-shockwave-flash
Date: Mon, 03 Mar 2014 16:28:41 GMT
Connection: keep-alive
t=1393864121690 [st=332] -HTTP_TRANSACTION_READ_HEADERS
t=1393864121690 [st=332] HTTP_CACHE_WRITE_INFO [dt=0]
t=1393864121690 [st=332] HTTP_CACHE_WRITE_DATA [dt=0]
t=1393864121690 [st=332] HTTP_CACHE_WRITE_INFO [dt=0]
t=1393864121691 [st=333] -URL_REQUEST_START_JOB
t=1393864121691 [st=333] HTTP_TRANSACTION_READ_BODY [dt=0]
t=1393864121691 [st=333] HTTP_CACHE_WRITE_DATA [dt=0]
t=1393864121691 [st=333] HTTP_TRANSACTION_READ_BODY [dt=1]
t=1393864121692 [st=334] HTTP_CACHE_WRITE_DATA [dt=0]
t=1393864121692 [st=334] HTTP_TRANSACTION_READ_BODY [dt=0]
t=1393864121692 [st=334] HTTP_CACHE_WRITE_DATA [dt=0]
t=1393864121692 [st=334] HTTP_TRANSACTION_READ_BODY [dt=0]
t=1393864121692 [st=334] HTTP_CACHE_WRITE_DATA [dt=0]
t=1393864121692 [st=334] -REQUEST_ALIVE
E do URL_REQUEST:
122669: DISK_CACHE_ENTRY
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.359
t=1393864121359 [st= 0] +DISK_CACHE_ENTRY_IMPL [dt=350]
--> created = true
--> key = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121690 [st=331] +ENTRY_WRITE_DATA [dt=0]
--> buf_len = 304
--> index = 0
--> offset = 0
--> truncate = true
t=1393864121690 [st=331] -ENTRY_WRITE_DATA
--> bytes_copied = 304
t=1393864121690 [st=331] +ENTRY_WRITE_DATA [dt=0]
--> buf_len = 0
--> index = 1
--> offset = 0
--> truncate = true
t=1393864121690 [st=331] -ENTRY_WRITE_DATA
--> bytes_copied = 0
t=1393864121690 [st=331] +ENTRY_WRITE_DATA [dt=0]
--> buf_len = 0
--> index = 2
--> offset = 0
--> truncate = true
t=1393864121690 [st=331] -ENTRY_WRITE_DATA
--> bytes_copied = 0
t=1393864121691 [st=332] +ENTRY_WRITE_DATA [dt=0]
--> buf_len = 2612
--> index = 1
--> offset = 0
--> truncate = true
t=1393864121691 [st=332] -ENTRY_WRITE_DATA
--> bytes_copied = 2612
t=1393864121692 [st=333] +ENTRY_WRITE_DATA [dt=0]
--> buf_len = 1448
--> index = 1
--> offset = 2612
--> truncate = true
t=1393864121692 [st=333] -ENTRY_WRITE_DATA
--> bytes_copied = 1448
t=1393864121692 [st=333] +ENTRY_WRITE_DATA [dt=0]
--> buf_len = 1195
--> index = 1
--> offset = 4060
--> truncate = true
t=1393864121692 [st=333] -ENTRY_WRITE_DATA
--> bytes_copied = 1195
t=1393864121693 [st=334] ENTRY_CLOSE
t=1393864121709 [st=350] -DISK_CACHE_ENTRY_IMPL
A digitalização DISK_CACHE_ENTRYmostra que está limpo:
$ sudo clamscan -r .config/google-chrome/
[...]
Known viruses: 3138491
Engine version: 0.97.8
Scanned directories: 543
Scanned files: 1511
Infected files: 0
Data scanned: 70.93 MB
Data read: 135.29 MB (ratio 0.52:1)
Time: 22.528 sec (0 m 22 s)
As páginas veiculadas estão frequentemente (talvez sempre, não tenho certeza) no xxx.adnx.comdomínio (a xxxparte varia). Procurar por essa string no google-chromediretório retorna:
$ grep -lR adnx .config/google-chrome/
.config/google-chrome/Default/Preferences
.config/google-chrome/Default/History Provider Cache
.config/google-chrome/Default/Cookies
.config/google-chrome/Default/Current Tabs
.config/google-chrome/Default/History
.config/google-chrome/Default/Archived History
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/#cdn.adnxs.com/settings.sol
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/settings.sol
.config/google-chrome/Default/Favicons-journal
.config/google-chrome/Default/Preferences~
.config/google-chrome/Default/Favicons
.config/google-chrome/Default/Cookies-journal
Seguem meus complementos instalados. Estes são da loja de complementos do Chrome:
"View Vote totals" without 1000 rep
AutoReviewComments 1.3.0
Chat Reply Helper for Stack Exchange sites 2.4.0
Close Tabs 1.1
Desktop Notifications for Stack Exchange 1.6.5.1
Docs PDF/PowerPoint Viewer (by Google) 3.10
Edit with Emacs 1.13
Hangout Chat Notifications 2.0.0
IE Tab 6.1.21.1
KBD Button for Stack Exchange sites 0.2.0
Sexy Undo Close Tab 7.4.13
Smooth Gestures 0.17.14
SmoothGestures: Plugin 0.9.1
Yet another flags 0.9.10.0
Estes são deEmpilhar aplicativos:
Dude, where's my cursor 1.0
SE Comment Link Helper 1.0
Super User Automatic Corrector 1.0
threading-comments 1.0
stackexchange-tab-editing 1.0
Plug-ins instalados:
Como posso usar esta (ou qualquer outra) informação para identificar qual complemento está causando isso?
Responder1
Não tenho certeza se esse é o caso do seu problema específico, mas houve situações em que extensões conhecidas foram vendidas a terceiros que então cooptaram a extensão para fins nefastos. Aqui está uma história que discute isso:Extensões do Google Chrome estão sendo vendidas para empresas de adware malicioso.
excerto
Ron Amadeo da Ars Technica escreveu recentementeum artigosobre fornecedores de adware que compram extensões do Chrome para colocar atualizações maliciosas e injetadas por anúncios.
O Google Chrome possui atualizações automáticas para garantir que os usuários estejam sempre executando as atualizações mais recentes. Obviamente, o Google Chrome é atualizado diretamente pelo Google. No entanto, este processo de atualização inclui consequentemente as extensões do Chrome. As extensões do Chrome são atualizadas pelos proprietários das extensões e cabe ao usuário determinar se o proprietário da extensão é confiável ou não.
Quando os usuários baixam uma extensão, eles dão permissão ao proprietário da extensão para enviar novo código ao navegador a qualquer momento.
O que inevitavelmente aconteceu é que os fornecedores de adware estão comprando as extensões e, portanto, os usuários, dos autores das extensões. Esses fornecedores estão distribuindo adware para todos os usuários da extensão, o que pode tornar a experiência de navegação perigosa.
Um autor de extensão do Google deusua conta pessoalsobre isso em sua postagem no blog intitulada “Vendi uma extensão do Chrome, mas foi uma má decisão”.
Meu conselho seria levar essa situação muito a sério e desabilitar extensões sobre as quais você não tem certeza. Eu então monitoraria a situação para ver se ela diminui ou continua.
Se continuar, eu iria mais fundo e começaria a examinar os servidores DNS que você está usando. Eu normalmente usoOpenDNSexatamente por esse motivo, uma vez que este serviço (gratuito) tenta impedir vetores de ataque redirecionando pesquisas de DNS para páginas alternativas do OpenDNS.
Por que se preocupar com DNS?
Os servidores DNS OpenDNS aumentarão intencionalmente os resultados retornados quando você fizer uma pesquisa se um nome de host for afiliado a atividades relacionadas a spam/hacking/phishing. Eles estão em uma posição única, pois realizam pesquisas para cada site que seus clientes acessam, para que possam detectar anomalias, veja aqui:ABERTA PROTEÇÃO CONTRA PHISHING, assim comoaqui.
O que mais?
Eu também me certificaria de que seu /etc/hostsarquivo não foi comprometido e continuaria monitorando a situação usando algo como nethog, que mostrará quais processos estão acessando sua rede.
Amit Agarwal criou uma extensão Feedly para o Chrome em menos de uma hora e a vendeu sem saber a um fornecedor de Adware por uma oferta de 4 dígitos. A extensão tinha mais de 30.000 usuários no Chrome no momento da venda. Os novos proprietários lançaram uma atualização na loja do Chrome, que injetou adware e links afiliados na experiência de navegação dos usuários. Embora esta extensão tenha sido removida devido à publicidade que a confissão arrependida de Agarwal fez, este é um evento muito comum nas extensões do Chrome.
Responder2
Dê uma olhada nos comentários da extensãoGestos Suaves(link direto).
Se você classificar os comentários por data (clicando emRecente), você verá que quase todas as novas avaliações têm uma classificação de uma estrela e reclamam de anúncios dissimulados:
Kevin Lee1 dia atrás
Vendido para uma empresa terceirizada que adiciona anúncios e um recurso de pagamento para remover anúncios.
Suresh Nageswaran3 dias atrás
Odeio os anúncios. Funcionou bem até começar a injetar anúncios na minha experiência de navegação. Eu teria pago para continuar a usá-lo, mas tinha uma forte preocupação com a sorrateira. Limites do spyware.
João Smith6 dias atrás
Não use isso. Ele está injetando JS para clicar em coisas e causa problemas de segurança XSS com https.
Tomas Hlavacek23 de fevereiro de 2014
Merda absoluta... Lembra-se do incidente com furto de URL não autorizado? Depois começaram a forçar os usuários a “doar” ou sofrer anúncios. Até começou a ficar lento em algumas páginas (o que não acontecia antes de todas aquelas “melhorias”). Então mudei para o CrxMouse e estou bem.
Kyle Barr19 de fevereiro de 2014
É uma extensão sólida de gestos do mouse, mas os novos anúncios são uma adição horrível. Primeiro porque a extensão atualiza e adiciona os anúncios silenciosamente, então você não sabe de onde eles vêm. Aqui estou eu verificando meu computador com vários scanners de malware porque estou recebendo anúncios aleatórios, até perceber que são Smooth Gestures os inserindo.
Não há mais um bom motivo para usar essa extensão e, pessoalmente, gostaria de saber quem desenvolve essa extensão para ter certeza de não instalar nada deles no futuro.
Parece que esse é o culpado.
Responder3
Além das respostas aqui, encontrei mais alguns recursos úteis.
Este howtogeekartigorecomenda um programa chamadoViolinistaque atua como um proxy de depuração da web, permitindo examinar solicitações de rede (há um alfaversão linux). @slm me indicouesta respostano SO que também possui vários programas semelhantes.
O modo de desenvolvedor na
chrome://extensionspágina do Chrome permite verificar cada extensão em busca de processos em execução em segundo plano:
Clicar em
background.htmlabre a janela de ferramentas do desenvolvedor do Chrome, que permite visualizar facilmente as fontes dos vários scripts que a extensão contém. Nesse caso, notei uma pasta chamadasupportna árvore de origem do Sexy Undo Close Tab que continha um script chamadobackground.jsque parecia suspeito (estava gerando intervalos de tempo aleatórios que se ajustavam aos meus sintomas).Este outro howtogeekartigotem uma lista de extensões conhecidas a serem evitadas, mas melhor ainda éhttp://www.extensiondefender.comque parece ser um banco de dados de extensões maliciosas gerado pelo usuário. No entanto, eles não especificam como ou por que uma extensão específica foi marcada como malware ou addware, então talvez deva ser considerado com cautela.
As pessoas por trás do extensiondefender.com (quem quer que sejam) também desenvolveram uma pequena extensão muito legal chamada (drumroll)Defensor de Extensão. Isso permite que você verifique suas extensões existentes em busca de extensões conhecidas como "ruins" e também impede a instalação de extensões na lista negra.
Então, das extensões no meu OP, ambasGestos Suaves(obrigado @Dennis) eSexy Desfazer Fechar Guiasão addwares. Com base no código-fonte do support/background.jsarquivo deste último, tenho certeza de que foi um deles que sequestrou aleatoriamente minha página atual, mas darei alguns dias para ter certeza.
Outra extensão útil éNotificador de atualização de extensões(obrigado@Dennis) que aparentemente permite que você saiba sempre que uma extensão foi atualizada, o que pode ajudar a identificar o culpado caso uma atualização adicione esse tipo de comportamento.
Responder4
Um bom lugar para começar é com a extensão do Chrome “shield for chrome”. Isso ajudará a descobrir extensões com problemas CONHECIDOS. Está disponível na Chrome Web Store, é gratuito, leve e muito fácil de usar. https://chrome.google.com/webstore/detail/shield-for-chrome/cbaffjopmgmcijlkoafmgnaiciogpdel
Ou "Defensor de Extensão". https://chrome.google.com/webstore/detail/extension-defender/lkakdehcmmnojcdalpkfgmhphnicaonm?hl=en