Pull to refresh

Comments 45

т.е. способ борьбы — почистить автозапуск и поставить заново броузер.
А откуда и главное как зараза пролезла?
Побуду сегодня капитаном. Автозапуска мало. Службы, планировщик и тупо ярлыки обязательны к просмотру.
Очень часто в последнее время натыкаюсь как раз на прописанные в ярлыках сайты и/или ссылки на bat'ники.
Ещё забыл добавить про проверку «Дополнений» браузеров.
да это все понятно кэп, службы и планировщик это тоже автозапуск…

главный вопрос как оно залезает?
Все случаи что капитан видел, были последствием запуска как-нибудь странных программок, с именем вроде krutaya.mp3.exe или supergame.zip.exe
Разводы древние как мир до сих пор работают, дело LOVE-LETTER-FOR-YOU.TXT.vbs живо.
Если гобально — пользователь с админ правами для постоянной работы.
Крайне реже — уязвимости в системе. Это реально гораздо реже случается.
Наверно я использовал данный алгоритм:
1)Проверил службы, планировщики
2)Проверка путей в ярлыках
3)Проверка браузера на предмет сторонних дополнений.
Если не помогает, тогда переустановка с 0 браузера.
> Однако для проверки папка была переименована и тут же установлен новый хром той же версии.
то есть для проверки вы использовали предоставленный вам компьютер, а не попытались тоже самое повторить на тестовой машине, где установлен полный мониторинг за всеми частями системы с аккаунтом жертвы?

т.е. хром был установлен в профиль пользователя, так?
Судя по тому, что под другими учётками проблема была — хром установлен в целом на машину, а не для конкретного пользователя.
Вот имхо зря bitlz заминусовали ибо я, например, тоже не понял из статьи куда был установлен Chrome, а про новых пользователей подумал, что это относится к профилям в самом Chrome.

Помимо этого по умолчанию Chrome ставится именно в профиль пользователя.

В общем, мне тоже интересны подробности ибо у меня Chrome как раз в Program Files живёт, а SRP (локальные политики) блокируют запуск приложений из мест, куда можно писать без админ прав. В общем, пока, я предполагаю, что мне и моим хомячкам описанные в статье проблемы не грозят.
Проблема, думаю, в админ правах.
Наверняка были.
Похожая петрушка была как-то, но только добавлялась библиотека в %programfiles%\mozilla firefox
После этого так же левые страницы в ff и хроме. Сильно в механизме не разбирался. Но на машине, где отродясь не было ff, данная папка с 1 файлом смотрелась забавно.
И опять привет админским правам. Уж сколько раз твердили миру…
Возможно и в админ правах, но тогда возникает ещё более прозаичный вопрос куда делся по умолчанию включенный механизм UAC.
Не исключаю, конечно, вероятности, что зараза умудрилась вылезти из песочницы через очередную уязвимость Win32k из процесса Chrome, который при этом ещё был запущен с админ правами при включённом UAC, но тогда это уже какой-то слишком суровый и экзотический способ поставить именно адварь. Вариант повышения прав за счёт уязвимости я сразу исключаю ибо такие эксплойты обычно значительно сложнее.
Ну понятно, господа продвинутые юзеры и админы, похоже, расходимся. У меня этот файл в Program Files и просто так его не переписать.

P.S. Google «молодцы» конечно, ибо уже неоднократно нарушили всевозможные гайдлайны как по безопасности, так и по дизайну, от этого собственно и описанная в топике проблема.
AdwCleaner поможет вычистить автозагрузку, службы, планировщик и т.п. Т.е. пути проникновения скрипта. Но вряд ли AdwCleaner (по крайней мере, текущая версия) найдёт скрипт в pak-файле Chrome.
Не уверен что проблема действительно новая, но с чем-то очень подобным я тоже столкнулся месяца три назад.
Правда реклама там всплывала и в хроме и в ФФ. Отчеты антивирусов были чисты (правда я тогда еще не знал про галку с нежелательными программами). AdwCleaner таки помог.
У «рекламных» adware много путей внедрения в систему. От банальных расширений к браузерам, до описанного в статье метода.
Спасибо. Не знал про такое, тоже помогло. А то не знал как эту заразу на ноуте девушки прибить уже.
Столкнулся с такой же проблемой. У меня установлен flash block и ad block и я пользуюсь Ubuntu.
С некоторых пор стала появляться иконка заблокированного флеша в левом верхнем углу. Так же я во время работы в инст. разработчика в хроме заметил, что на странице генерируется iframe, которого нет у меня в коде.
Стал смотреть куда ведет адрес с флеша через flash block. И он точно такой же как в этой статье — akamaihd.net
Я думал это от какого-то расширения, пробовал отключать — все остается так же.

В итоге я просто добавил правило в adblock и блокировал этот элемент с флеш. Сгенерированный iframe так и появляется в коде страницы, но его не видно и он не мешает…
Так что проблема действительно существует.
akamaihd.net это просто CDN Akamai. Очень большой и распространенный. Там много чего может быть от кого угодно.
А могут с Akamai какие-нибудь гадости заливаться? Сталкивались когда-нибудь?
Туда что угодно можно залить, оно для этого и предназначено. Заливаешь один файл, его выкачивают, он распространяется по огромному количеству кеширующих серверов по всему миру, предоставляя возможность юзерам качать максимально быстро без всяких p2p. Только за трафик плати.
Но не думаю, что Акамаи очень уж абузоустойчив. Подозреваю, что если накатать жалобу на этот expressfind из статьи выше, предоставить доказательства, может с ними и разберутся.
Вы главное не вздумайте весь акамаи блочить по домену, много чего полезного распространяется через него. Максимум — поддомен, в нашем случае, «expressfind-a.akamaihd.net».
Да это понятно, что не блочить. Просто у меня Akamai как-то с обновлениями Windows в основном ассоциировался. Выходит, зря.)
А у вас, часом, не найдется какой-нибудь истории из личного опыта со зловредом на Akamai? С кровавыми подробностями и скандальными разоблачениями?
Нет, лично с таким не сталкивался. Сам использую Akamai в мирных целях.
А хром у вас был последней версии? Вроде как обновление проверяет CRC.
CRC или криптографически стойкую цифровую подпись?
Интересно все-таки узнать способ проникновения. Может тот Хром скачали с левого сайта?
Кстати, я не перестаю удивляться, почему так сложно повнимательнее почитать ссылки в гугле и скачать БЕСПЛАТНЫЙ софт с оригинального сайта, а не с какой-то левой софтопомойки, которая в каждый инсталлятор засовывает кучу adware.
Особенно, когда домашний сайт проекта и имя домена совпадают.
Файлы случайно не этими сертификатами подписаны?
habrahabr.ru/company/infopulse/blog/255251/
UFO landed and left these words here
Кстати, а что за поставщик рекламы здесь используется? И почему он не против такого вида размещения рекламы?
Новый adware встраивается непосредственно в браузер
По заголовку поста ожидал увидеть сам механизм встраивания, либо хоть какой-то намек на это. Думал, что в хроме есть какая-то уязвимость, либо что-то вроде этого, позволяющая зловреду так прописаться

И, кстати…
Быстрый поиск для распаковки ресурсов показал следующий скрипт на питоне
Несколько раз перечитал предложение. Спасибо, мой мозг взорван
Это плохой перевод с рекламой.

Quick search for unpacking resources showed the following script in Python — в оригинале
Вы правы, и вправду перевод: it-supernova.com/new-adware-that-integrates-directly-into-the-browser

Получается, что пост нарушает сразу несколько правил Хабра: реклама, отсутствие метки перевод. Из «моральных» правил: выдача чужой статьи за свою. Некрасиво
Вы что, с ума посходили? Какой-то сайт украл у меня статью, сделав перевод с русского на английский. А рекламу где увидели?
Реклама в первом же абзаце — не делайте вид, что не в курсе.
Хорошо, пусть статья ваша — почему комментарии к коду на английском? Учитывая, что писали на русском, правильным тоном было бы дать и комментарии к коду на русском
Если нет рекламы и статья всё-таки ваша — зачем мне карму минуснули?
Будь я на вашем месте и, если бы статья была моей, я бы и значения не придал таким комментариям
Пост про борьбу с рекламой, а все ради рекламной ссылки автора, в первом же абзаце до ката…
Интересно, какой идиот минусует? Замечание абсолютно справедливо, реклама на хабре запрещена правилами (по крайней мере, вне корпоративного блога).
Интересно, что скажет akamai, пустивший в свой CDN такое, да ещё и согласился отдавать по https.
Only those users with full accounts are able to leave comments. Log in, please.