Вредоносное ПО, добавляющее код в ga.js, открывает случайную рекламу/веб-сайты?

Мой друг только что передал мне свой планшет и сказал, что каждый раз, когда он открывает веб-страницу, браузер перенаправляет на несколько рекламных страниц (или «добавляет» рекламу на страницу).

Это происходит как в Chrome, так и в стандартном браузере.

Я использовал отладку по USB, чтобы просмотреть запрос браузера, и думаю, что нашел виновника. Когда браузер загружает http://www.google-analytics.com/ga.js , фактический код отличается. Посмотрите на этот снимок экрана (зеленая линия — это место, где должен заканчиваться ga.js):

введите описание изображения здесь

(и добавленный код продолжается...)

Сначала я подумал, что какое-то вредоносное ПО изменило файл hosts и присвоило веб-сайту google-analytics другой IP-адрес, но это не так, поскольку, когда я напрямую перехожу по ссылке выше, я вижу правильный код JS.

Как я могу отследить, какое приложение это делает?

Есть ли какое-либо приложение для управления сетевым трафиком, например, VPN или прокси? Также попробуйте получить доступ к веб-страницам через https (если возможно)
Через HTTPS проблема, кажется, исчезает, но я обязательно отвечу
Я подтверждаю, что через HTTPS проблема исчезает (я пробовал с reddit.com, который поддерживает как HTTP, так и HTTPS, и через HTTP страница перенаправляется). Кроме того, планшет кажется довольно чистым, потому что владелец пытался очистить его, прежде чем отдать мне: единственные приложения, явно установленные им, — это «Moon+ Reader» и «Mobile Security & Antivirus» (от ESET).
Тогда должно быть что-то неправильно настроено. Возможно, прокси, способный перехватывать HTTP-трафик.
После этого я вижу, что прокси-сервер, похоже, не настроен: stackoverflow.com/a/21069032/747654 , а также: настройка прокси-сервера, похоже, зависит от сети, и у владельца были эти проблемы также при подключении к его собственному Wi-Fi...
Хорошо, может быть, я решил это. Я заметил, что когда браузер запрашивает ga.js, ответ сервера, видимый из DevTools, на самом деле был 304 Not Modifiedтаким, поэтому я подумал, что, возможно, при непосредственном посещении страницы я получу нужный файл (но не при запросе ga.js с другой страницы). Итак, я почистил кеш. Теперь проблема, кажется, окончательно исчезла...
Теперь мне интересно: может быть, это была проблема, связанная с сетью (сеть владельца извлекает «неправильный» ga.js, который уже будет кэширован при подключении к моей сети). Но он протестировал свой мобильный телефон Android, и проблема не проявилась. Я попрошу его посмотреть еще раз.
Может какое приложение перед очисткой. Кэш не очищается при удалении приложения.
Я считаю, что это вызвано вредоносным ПО DNSChanger . Возможно, вам придется сбросить настройки маршрутизатора и очистить данные и кеш Google Chrome, чтобы исправить это. Взгляните на эту тему на форумах Google: productforums.google.com/forum/m/#!topic/chrome/qn1wgcqaFWI .
Чтобы проверить, не заражены ли вы, попробуйте выполнить запуск nslookup google-analytics.comс зараженного компьютера (или устройства Android) и сравните результаты выполнения той же команды с другого компьютера, который, как вы знаете, чист. Проверьте, совпадают ли оба IP-адреса.
Спасибо @Vinayak, я передам эту информацию владельцу (кстати: ваши комментарии могут быть перенесены в реальный ответ)

Ответы (3)

Вчера столкнулся с описанной выше ситуацией. После долгих копаний добрался до этой темы, и это привело меня к решению.

Судя по всему, один из компьютеров в сети, которую я посетил, подвергся воздействию вредоносного ПО, которое изменило настройки маршрутизатора. Маршрутизатор был с данными для входа D-Link 2760U/Eпо умолчанию .Admin / Admin

Используя указанные выше учетные данные, указанное выше вредоносное ПО изменило «таблицы статической маршрутизации», добавив свои серверы в качестве посредников. Весь не SSL-трафик проходил через их службу, которая вводила js на страницу. Я нашел страницу GitHub , на которой показаны изменения и дополнения.

Мне потребовалось некоторое время, чтобы понять, что весь трафик исходит от атаки с изменением DNS — я проверил и убедился, что компьютер полностью чист и не запущены какие-либо неизвестные процессы/службы до и во время теста.

Одна из вещей, которую они сделали, — перенаправила весь трафик google-analytics.com на свой сервер, держа их в поле зрения.

Итак, как это решить:

Быстрый способ:

Сбросьте настройки маршрутизатора до заводских — обратите внимание, что все существующие настройки будут удалены.

Долгий путь:

  1. Войдите в веб-интерфейс маршрутизатора
  2. Удалите все неизвестные записи из таблиц статической маршрутизации.
  3. Сменить пароль для входа в роутер
  4. Перезагрузите маршрутизатор.

Я надеюсь, что этот пост поможет кому-то.

С уважением,
Лирон

Это может быть вызвано вредоносным ПО DNSChanger , но сейчас оно мертво, поэтому вполне возможно, что это вызвано каким-то другим вредоносным ПО, которое нарушает настройки DNS компьютера (или маршрутизатора) . Или, может быть, маршрутизатор был открыт для Интернета (см. раздел « Удаленное управление » ), и кто-то смог взломать его и изменить настройки DNS .

Если одна и та же проблема затрагивает все устройства (включая ПК), подключенные к сети Wi-Fi, то я думаю, что в дополнение к сканированию на наличие вредоносных программ на всех ПК, подключенных к сети, необходимо выполнить сброс маршрутизатора. Для этого вы можете использовать Malwarebytes Anti-Malware .

На устройстве Android очистите данные и кеш Google Chrome после сброса настроек маршрутизатора и завершения сканирования на наличие вредоносных программ. Эта ветка на форумах по продуктам Google может иметь отношение к этой проблеме.

Чтобы проверить, действительно ли это проблема перехвата DNS, попробуйте запустить nslookup google-analytics.comс зараженного компьютера (или устройства Android, если установлен BusyBox ) и сравните результаты выполнения той же команды с другого компьютера, который, как вы знаете, чист.

Проверьте, возвращают ли они оба одинаковые IP-адреса или, в случае Google, IP-адреса, контролируемые Google. Вы можете проверить, принадлежит ли данный IP-адрес Google или нет, выполнив WHOISпоиск здесь: http://whois.domaintools.com/XXXX (где xxxx — IP-адрес)

В итоге я обнаружил, что роутер уязвим к rom-0 уязвимости (чтобы проверить, уязвим ли ваш роутер, используйте это ).

Таким образом, проблема, скорее всего, была вызвана кем-то (или чем-то), кто имел полный доступ к интерфейсу администратора маршрутизатора. Я сейчас обновил прошивку (и тест теперь отрицательный).

Где вы нашли проверку на уязвимость? Как вы проверяли его подлинность? Откуда вы знаете, что за кулисами ничего не происходит? На сайте нет никакой информации, кроме "нажми на кнопку". Немного подозрительно.
Этот чекер упоминается в статье, которую я цитировал в ответе (в статье объясняется, как проверить уязвимость, и разумно, что вы можете сделать это одним нажатием кнопки, поскольку все, что вам нужно, это IP-адрес)
Вредоносное ПО, добавляющее код в ga.js, открывает случайную рекламу/веб-сайты?
СпросиСетьПолитика конфиденциальности1y, 0v