我已经两次中招了,第一次是因为安装了一个万能复制插件,第二次是因为安装了一个 '一键谷歌翻译' 插件,我安装的这两个插件都是有一些评论 安装数 在前排的
如何发现的?
经常莫名其妙有个音频开始播放 可以看到音频来源是某个不相关页面(包括科创页面) 大部分都是各种非英语的语言 不过有时会是中文视频(其中一个是王局),一开始以为是edge浏览器有bug,更新后无果,搜索有没有类似经历的依然未能搜索到,使用开发人员工具看了一下就成功发现了,原来是在偷偷访问yotube视频
其显著特征为
1.莫名其妙一个网页开始播放一个声音(实际为在后台偷偷访问youtube视频)
2.无关页面访问 XXXXXXXXXXXXXXXXXXXX/timesince (提交协议头包括各种敏感信息)
3.无关页面访问 XXXXXXXXXXXXXXXXXXXXX/?app=m
为何认为有'大量'?
使用谷歌搜索XXXXXXXXXXXX 可以明显看到已经有一部分人在最少一年前就关注到了这件事 但是目前来看并未有任何大的关注
而我扩展安装的次数也非常少 只是一个广告过滤插件 油猴 万能复制 翻译 第一次就是我去安装万能复制扩展的时候安装到的病毒插件 第二次就是去安装翻译扩展插件 又再一次中招 这实在是太容易中招了
Browser hijacker? : techsupport (XXXXXXXXXX)
Concerned about XXXXXXXXXXXXXX - Resolved Malware Removal Logs - Malwarebytes Forums
病毒插件细节
安装一键谷歌翻译后,打开开发人员工具后,再打开任意不知名网站,即可发现
此病毒疑似会检测访问网站是否在某个名单内(恶意js内带有一大串的网址,我打开常见网站也发现没有这些请求),如果检测到了则在此网页下不进行恶意操作,疑似为了防止被发现
post数据里包含此页面浏览的网页的域名
第一次的扩展插件提交协议头上有附带本站cookie的,并且还有完整的网址,非这次的只有域名,不过我这并未有之前的截图
查看youtube浏览记录,点赞记录,任意点击一个视频都会发现 浏览数和点赞数离谱的差距
Microsoft Edge Add-ons
点击在商店中查看发现该扩展已经没了
并且我发现这个扩展好像会导致无法使用谷歌搜索,能够访问主页但是点击搜索就会这样,设置站点访问权限为单击时也一样的,得彻底关闭才行
最早发现时间 2024年2月10日 3月28日应该为第二次中招时间
恶意插件.zip
76.32KB
ZIP
1次下载
恶意js代码.zip
507.98KB
ZIP
0次下载
查看js代码发现有大量'混淆'反逆向操作 大量被编码的数据 定义了一大堆参数
可能可以尝试使用github上开源的js解密工具进行解密
顺便我去随便去最新页面安装了好几个插件,不管是什么功能 都需要阅读你的浏览历史记录权限,至于会不会读取任何给你提交了,idontknow
(这个应该是很久以前的在微软商店安装的,并非'未知来源')
(我发现在2024/4/7 15:08 看不见这些请求了也许有时间段限制? 我想着挂着看看完整的流程,是访问了什么获取了需要被刷的视频之类的,之前的XXXXXXXXXXXXXXXXXXXX/timesince未有任何返回数据 由于时间原因暂时就写到这里了)
200字以内,仅用于支线交流,主线讨论请采用回复功能。