A więc … Zmęczony przeglądałem dziś rano witrynę Ikei i próbowałem użyć jednego z ich narzędzi do wizualizacji. Pojawił się komunikat o błędzie informujący, że nie korzystał z najnowszej wersji Adobe Flash. Na początku niechętnie, bo jakiś czas temu myślałem o ich problemie z bezpieczeństwem, nadal pomyślałem „eee, musieli już to naprawić”. Poszedłem do sklepu chrome, szukałem rozszerzenie do flash playera i jak szalony głupek, wziąłem pierwsze, które widziałem, bez patrzenia na wydawcę i kilka recenzji takiego rozszerzenia. Jak tylko zostało zainstalowane, otworzyło stronę sklepu muzycznego znikąd. Wtedy wiedziałem, że spieprzyłem …
Natychmiast usunąłem rozszerzenie. Po powrocie do domu odinstalowałem Brave tego wieczoru, usunąłem wszystkie pozostałe odważne foldery na moim dysku SSD i wykonałem pełne skanowanie systemu za pomocą programu Avast oraz skanowanie w poszukiwaniu zagrożeń za pomocą Malwarebytes (obie wersje bezpłatne). Nic nie wyszło. Sprawdziłem również, czy nie działa jakikolwiek dziwny proces (przez menedżera zadań) i nie znalazłem nic specjalnego. Czy powinienem się martwić i czy jest coś jeszcze, co powinienem zrobić?
Oferowanym rozszerzeniem był Flash Player przez Flash Playera … Tak, wiem, powinienem był to zobaczyć …
Dziękuję Oberom
Komentarze
- Gdybyś zachował aktualne pliki rozszerzeń, które zainstalowałeś, można by sprawdzić, czy otwierało tylko strony reklamowe, czy też robiło bardziej nikczemne rzeczy. W każdym razie nie powinno być w stanie zainfekować twojego komputera.
- Dziękuję Angel za odpowiedź. Nawet z keyloggerem?
- Rozszerzenia mają dość ograniczone możliwości. Bez żadnych luk nie powinny mieć wpływu na nic poza przeglądarką.
Odpowiedź
Zakładam, że zainstalowane rozszerzenie to https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Nazywa się „Flash Player” i stwierdza, że jest „s” Oferowane b y: odtwarzacz flash ”. Sprawdziłem wersję 1.1.3. Po instalacji otwiera się https://themusic[.]io/
Wymagane uprawnienia to:
- Przeczytaj i zmień wszystkie swoje dane w odwiedzanych witrynach internetowych
- Zarządzaj pobieranymi plikami
Strona z muzyką, która się otwiera, ponieważ podczas instalacji otwiera się https://flplayer[.]net/welcome , które tam przekierowuje. Po odinstalowaniu otwiera się https://flplayer[.]net/uninstall z prostym napisem „Przepraszamy, jeśli nie pasujemy do Twoich potrzeb”. Do zobaczenia następnym razem! „
Kolejną interesującą stroną jest http://flplayer[.]net/config.php , z której pobiera kilka opcji konfiguracyjnych . Obejmuje to wartość o nazwie analyticsId („UA-117750115-1”), która wydaje się być identyfikatorem Google Analytics (wydaje się być nieużywana), oraz mixpanelId (58410f8ab299e0eb2b736f6e233eda37), który jest używany, jeśli ustawiono ExtendedAnalytics.
Inną dziwną cechą jest to, że podczas renderowania pola osadzania, jeśli protokół to https, przekazuje adresy URL za pośrednictwem strony https://greatapptst[.]com/redirect.php?url=<url> (która przekazuje wszystko)
Jako sama przeglądarka pośredniczy w tym, co może zrobić rozszerzenie, nie sądzę, aby mogło uciekać, aby zainstalować program systemowy (nie, też nie keyloggera). Co najwyżej mogło opublikować informacje o Twojej przeglądarce i stronach. Zwłaszcza o strony odwiedzone po instalacji g to. Ale najwyraźniej odinstalowałeś go natychmiast, więc nawet w tym przypadku niewiele mógł zebrać. Gdybyś to zrobił, ja
Komentarze
- Dziękuję za poświęcony czas Anioł. Wydaje mi się, że ' nie ma sprawy. W przyszłości powinienem być bardziej ostrożny.