Tehát … Fáradt, hogy ma reggel az Ikea webhelyén böngészgettem, és megpróbálta használni az egyik vizualizációs eszközét. Hibaüzenetet kapott, mondván, hogy én nem az Adobe Flash legfrissebb verzióját futtatta. Eleinte vonakodva, mert egy ideje gondoltam a biztonsági problémájukra, még mindig azt gondoltam, hogy “meh, biztosan már megoldották”. Bementem a króm boltba, kerestem egy flash-lejátszó kiterjesztésként, és mint egy furcsa dumpa, az elsőt láttam, anélkül, hogy megnéztem volna a kiadót, és néhány véleményt egy ilyen kiterjesztésről. Amint települt, megnyitott egy oldalt egy zeneüzlet számára akkor tudtam, hogy f * ckedtem …
Azonnal eltávolítottam a kiterjesztést. Ma este hazaérve eltávolítottam a Brave alkalmazást, töröltem az összes hátralévő bátor mappát az ssd-ről, és teljes rendszerellenőrzést hajtottam végre az Avast-szal és egy fenyegetés-vizsgálatot a Malwarebytes programmal (mindkét ingyenes verzió). Semmi sem jött ki. Megvizsgáltam minden furcsa folyamatot is (a feladatkezelőn keresztül), és nem találtam semmi különöset. Aggódnom kellene, és van még valami, amit tennem kell?
A kérdéses kiterjesztés Flash Player volt, flash-lejátszóval … Igen, tudom, látnom kellett volna …
Köszönöm, Oberom
Hozzászólások
- Ha megtartotta volna a tényleges telepített kiterjesztési fájlokat, megvizsgálható lenne, hogy csak hirdetési oldalakat nyitott-e meg, vagy nem aljas dolgokat tett-e. Mindenesetre nem lett volna képes megfertőzni a számítógépet.
- Köszönöm Angel válaszát. Keyloggerrel sem?
- A kiterjesztések meglehetősen korlátozottak. Lehet, hogy sebezhetőségek nélkül nem befolyásolhatnak semmit a böngészőn kívül.
Válasz
Feltételezem, hogy a telepített kiterjesztés https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
“Flash Player” néven szerepel, és kijelenti, hogy “s” Ajánlott b y: flash lejátszó “. Megnéztem az 1.1.3 verziót. Telepítéskor megnyílik https://themusic[.]io/
A kért engedélyek a következők:
- Olvassa el és módosítsa az összes adatot a felkeresett webhelyeken.
- Kezelje a letöltéseket.
A megnyitott zenei oldal, mert telepítéskor megnyílik https://flplayer[.]net/welcome , amely átirányít oda. Az eltávolításkor megnyílik https://flplayer[.]net/uninstall , amely egyszerűen azt mondja: “Sajnáljuk, ha nem felelünk meg az Ön igényeinek. Találkozunk legközelebb! “
Egy másik érdekes oldal a http://flplayer[.]net/config.php , amelyből egy csomó konfigurációs beállítást lehív. . Ez magában foglalja az analyticsId nevű értéket (“UA-117750115-1”), amely a Google Analytics azonosítójának tűnik (használatlannak tűnik), és egy mixpanelId (58410f8ab299e0eb2b736f6e233eda37) nevű értéket, amelyet az ExtendedAnalytics beállítása esetén használnak.
Egy másik furcsa tulajdonsága, hogy az embed box renderelésekor, ha a protokoll https, akkor az URL-eket a https://greatapptst[.]com/redirect.php?url=<url> oldalon adja meg (ami bármit meghatalmaz)
Mivel a maga a böngésző közvetíti, hogy a bővítmény mit tehet, nem hiszem, hogy megúszhatta volna egy rendszer programjának telepítését (nem, nem pedig egy keylogger sem). Legfeljebb információkat tehetett közzé a böngészőjéről és az oldalairól. a telepítés után meglátogatott oldalak g it. De nyilvánvalóan azonnal eltávolította, így még ebben az esetben sem sok mindent tudott volna betakarítani. Ha mégis, akkor
megjegyzések
- Köszönöm az idejét, Angyal. Azt hiszem, ' a szabadban vagyok. A jövőben óvatosabbnak kellene lennem.