A Pesquisa do Google seqüestrou apenas quando não está sendo observada. Anexar um depurador retorna resultados normais

Eu não consigo descobrir isso. Percebi que meus resultados de pesquisa eram um pouco "diferentes" ultimamente.

• Não estou conectado quando faço uma pesquisa no google, mas se eu clicar em "Imagens" ou "Vídeos", será exibido como conectado.
• Não há informações da Wikipedia na barra lateral da página de pesquisa.
• Se eu desativar o Ghostery e o uBlock, muitos dos resultados serão anúncios.

Decidi verificar as ferramentas do desenvolvedor e notei que havia um SyntaxError na página, cliquei nele e ele realmente leva a uma função javascript que substitui o endereço da web do google.

O problema parece ocorrer apenas no Chrome, aqui está um lado a lado do Firefox:

Tentei anexar o Fiddler Web Debugger para capturar o tráfego para poder ver para onde estou sendo redirecionado. Mas assim que eu anexo um depurador da Web, tudo desaparece e eu recebo a página de pesquisa real ... A fonte da página quando o Fiddler está capturando é completamente diferente.

Abaixo está uma captura de tela gifv mostrando. Começa com a página invadida e eu circulo meu cursor em torno de alguns arquivos de origem javascript adicionais incompletos. Depois, digo ao Fiddler para capturar tráfego e atualizar meus resultados de pesquisa. A página que eu recebi é completamente diferente. Finalmente, desabilito a captura de tráfego novamente e atualizo a página para mostrar a página seqüestrada e levo você para a função com o erro de sintaxe que deve substituir o endereço da web.

http://i.imgur.com/gbWkkLp.gifv

Corri o Malwarebytes e não obtive resultados. O Spybot apresentou alguns hits, mas removê-los não resolveu o problema. Também redefini completamente o Chrome usando a ferramenta fornecida pelo Google. Se eu usar um perfil da web diferente, como aquele em que faço minhas contas, não recebo resultados de pesquisa. Se eu ativar o violinista, de repente eu obtenho resultados.

Algum malware provavelmente estava se passando pelo Fiddler , como apontou o desenvolvedor original do Fiddler, Eric Lawrence :

Várias partes de malware verificam se o Fiddler está em uso e, se estiverem, deixam de realizar atividades maliciosas para ocultar suas ações.

^{_{( fonte )}}

O Fiddler é uma ferramenta de depuração da web. Não possui nenhum comportamento malicioso e nunca é instalado, a menos que você o instale pessoalmente usando o instalador baixado da Telerik. O cenário descrito aqui é um malware que tenta evitar a detecção, parecendo o Fiddler.

^{_{( fonte )}}

Comportamento

O sinal mais claro de malware é que o Google Chrome não carrega sites HTTPS conforme planejado, a menos que você esteja usando o Fiddler para capturar tráfego. O Fiddler não foi projetado para interferir na sua navegação normal na Web quando não estiver em uso.

Para que o malware se esconda, ele precisa seqüestrar o proxy do Fiddler e renunciar ao tráfego HTTPS com a chave privada do certificado do Fiddler. É trivial alterar as configurações de proxy e é possível obter uma cópia da chave privada da sua instalação do Fiddler .

Certificado raiz

Você pediu ao Fiddler para instalar um certificado raiz no seu computador, o que permite que ele se insira como um homem no meio (MitM) para monitorar o conteúdo dos dados enviados por HTTPS:

Por outro lado, veja como normalmente https://www.google.com/ é confiável:

Seu computador confia no DO_NOT_TRUST_FiddlerRootcertificado porque foi instalado no armazenamento confiável de certificados do sistema operacional.

Proxy para interceptar HTTPS

Você indicou que o HTTPS se comporta corretamente no Mozilla Firefox, que pode ser configurado para usar suas próprias regras de proxy independentes, e não as regras de proxy do sistema operacional. O Google Chrome usa o proxy do sistema operacional sem uma opção fácil para fazer o contrário.

Passando pelo proxy no nível do sistema operacional do Fiddler, o Fiddler agora pode ser o MitM para capturar dados HTTPS não criptografados enquanto ainda atende o site. O Fiddler busca uma página da Web e a assina como "www.google.com" usando o certificado confiável anteriormente DO_NOT_TRUST_FiddlerRoot.

Nessas circunstâncias, o malware pode assumir o proxy e o certificado para alimentar o site errado e ainda mostrar o . Eu posso ver isso levando a ataques de phishing elaborados.

Preocupações com segurança

^{_{Relacionado ao Security Stack Exchange: Quais são os riscos à segurança dos fornecedores de software que implantam SSL Interceptando proxies nos desktops dos usuários}}

Como Eric Lawrence escreveu uma vez ,

Os recursos de interceptação HTTPS do Fiddler (com razão) despertam a atenção dos usuários preocupados com a segurança.

É por isso que o Fiddler alerta sobre as implicações de segurança da interceptação do tráfego HTTPS:

Por erro do usuário ou instalação de malware, o Fiddler foi associado a vários problemas:

• Violinista mostrando tunelamento para IPs desconhecidos
• Encontrei vários certificados pessoais DO_NOT_TRUST_FiddlerRoot instalados no meu sistema
• Não sei como, mas coloquei o Fiddler no meu computador (não aprovei nenhuma instalação)
• O Alerta de Certificado Thunderbird continua aparecendo
• As configurações de proxy do PC estão sendo substituídas

Embora o próprio Fiddler não seja um programa prejudicial, seu uso indevido e mal-entendidos levaram a má reputação do passado e vírus fingindo ser o Fiddler .

Remoção

Não sei se o seu computador foi comprometido por algum seqüestrador do Fiddler, mas você indicou que não tem tempo para limpar o computador e reinstalá-lo. Portanto, esperamos que as etapas a seguir possam se livrar do Fiddler e restaurar o comportamento adequado da Web segura. (Eu ainda recomendaria reinstalar e alterar suas senhas posteriormente, especialmente se você for sério sobre segurança. Você escreveu que o Spybot - Search & Destroy encontrou algum malware.)

Prefácio: Desconfigurar o Fiddler

O pôster original descobriu essas etapas adicionais para resolver seu problema com o Fiddler:

Por fim, o que foi corrigido: Configurações -> Mostrar configurações avançadas -> Em rede -> Alterar configurações de proxy -> Avançado -> Redefinir

e

Também nas Configurações do Fiddler, desativei as opções, permitindo descriptografar o tráfego HTTPS antes de desinstalar e limpar novamente os certificados.

Remover certificado (s) raiz do violinista

1. Pressione Win+r
2. Aberto: certmgr.msc
3. Examine todas as pastas e remova o DO_NOT_TRUST_FiddlerRootcertificado.

Desinstalar o Fiddler

1. Vá para Painel de Controle »Programas» Programas e Recursos.
2. Desinstale o Fiddler. Uma fonte diz que o Fiddler pode ser chamado de "FiddlerRoot" ou "BrowserSafeguard".

Limpar configurações de proxy

Supondo que você normalmente não use um proxy diferente…

1. Vá para Painel de controle »Opções da Internet.
2. Nas Propriedades da Internet, vá para a guia "Conexões".
3. Em "Configurações da rede local (LAN)", clique em "Configurações da LAN".
4. Limpe e desmarque as configurações de proxy da seguinte maneira:

Remover malware

Conforme sugerido anteriormente no Superusuário , você deve tentar encontrar e remover o malware original que exibia as páginas HTTPS modificadas.

Conselho detalhado:
Como remover spyware, malware, adware, vírus, cavalos de Troia ou rootkits maliciosos do meu PC?