Takže … Už jste mě unavili, když jsem dnes ráno procházel web Ikea a zkusil použít jeden z jejich vizualizačních nástrojů. Zobrazila se chybová zpráva, že jsem nebyla spuštěna nejnovější verze aplikace Adobe Flash. Zprvu neochotný, protože jsem před nějakou dobou přemýšlel o jejich bezpečnostním problému, pořád jsem pokračoval a myslel jsem si: „já, teď to už museli opravit“. Šel jsem do obchodu s chromem a hledal rozšíření přehrávače flash a jako bláznivý blázen vzal první, co jsem viděl, aniž by se podíval na vydavatele a několik málo recenzí na takové rozšíření. Jakmile bylo nainstalováno, otevřelo stránku pro hudební obchod odnikud. To je, když jsem věděl, že jsem se posral …
Okamžitě jsem odstranil příponu. Odinstaloval jsem Brave dnes večer, když jsem se vrátil domů, odstranil všechny zbývající statečné složky na mém SSD a provedl úplnou kontrolu systému s Avastem a kontrolu hrozeb s Malwarebytes (obě bezplatné verze). Nic nevyšlo. Také jsem zkontroloval, zda není spuštěn nějaký podivný proces (pomocí správce úloh), a nenašel jsem nic zvláštního. Měl bych se bát a je ještě něco, co bych měl udělat?
Dotyčným příponou byl Flash Player, nabízený Flash Player … Ano, já vím, to jsem měl vidět …
Děkuji, Oberom
Komentáře
- Pokud jste si ponechali skutečné soubory rozšíření, které jste nainstalovali, mohlo by to být zkontrolováno, zda se otevřely pouze stránky s reklamami, nebo jestli to dělalo více hanebných věcí. V každém případě by to nemělo být schopné infikovat váš počítač.
- Děkuji Angel za odpověď. Ani s keyloggerem?
- Rozšíření jsou v tom, co dokážou, poměrně omezená. Bez jakýchkoli zranitelností by neměli být schopni ovlivnit cokoli mimo prohlížeč.
Odpověď
Předpokládám, že nainstalované rozšíření bylo https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Má název „Flash Player“ a uvádí, že je „Nabízeno b y: Flash Player „. Zkontroloval jsem verzi 1.1.3. Při instalaci se otevře https://themusic[.]io/
Požadovaná oprávnění jsou:
- Přečíst a změnit všechna data na navštívených webech
- Spravovat stahování
Otevře se hudební stránka, protože při instalaci se otevře https://flplayer[.]net/welcome , které tam přesměrovává. Při odinstalaci se otevře https://flplayer[.]net/uninstall , který jednoduše řekne „Omlouváme se, pokud neodpovídáme vašim potřebám Uvidíme se příště! „
Další zajímavou stránkou je http://flplayer[.]net/config.php , ze které načte spoustu konfiguračních možností . Patří sem hodnota s názvem analyticsId („UA-117750115-1“), která se jeví jako identifikátor Google Analytics (zdá se nepoužívaná), a mixpanelId (58410f8ab299e0eb2b736f6e233eda37), který se použije, pokud byla nastavena extendedAnalytics.
Další podivná vlastnost, kterou má, je to, že při vykreslování pole pro vložení, pokud je protokol https, dává adresy URL prostřednictvím stránky https://greatapptst[.]com/redirect.php?url=<url> (která zastupuje cokoli)
Protože samotný prohlížeč zprostředkovává, co rozšíření může dělat, nemyslím si, že by mohl uniknout instalaci systémového programu (ne, ani keylogger). Nanejvýš mohl zveřejnit nějaké informace o vašem prohlížeči a stránkách. Zvláště o stránky, které jste navštívili po instalaci g to. Ale zjevně jste to okamžitě odinstalovali, takže ani v takovém případě toho nebylo moc možné sklidit. Pokud ano,
Komentáře
- Děkuji za váš čas, Angel. Myslím, že jsem ' m jasně. V budoucnu bych měl být opatrnější.