Alcuni malware stavano probabilmente impersonando Fiddler , come ha sottolineato lo sviluppatore originale di Fiddler, Eric Lawrence :
Vari malware controllano se Fiddler è in uso e, in tal caso, smettono di svolgere le loro attività dannose al fine di tentare di nascondere le loro azioni.
( fonte )
Fiddler è uno strumento di debug web. Non ha alcun comportamento malevolo e non viene mai installato a meno che non lo si installi personalmente utilizzando il programma di installazione scaricato da Telerik. Lo scenario qui descritto è un malware che sta tentando di evitare il rilevamento facendosi apparire come Fiddler.
( fonte )
Comportamento
Il segno più chiaro del malware è che Google Chrome non carica i siti Web HTTPS come previsto, a meno che non si utilizzi Fiddler per acquisire traffico. Fiddler non è progettato per interferire con la normale navigazione web quando non è in uso.
Affinché il malware si nasconda da solo, deve dirottare il proxy Fiddler e dimettere il traffico HTTPS con la chiave privata del certificato Fiddler. È banale modificare le impostazioni del proxy ed è possibile ottenere una copia della chiave privata dell'installazione di Fiddler .
Certificato di radice
Fiddler aveva installato un certificato di root sul tuo computer, che gli consente di inserirsi come un man-in-the-middle (MitM) per monitorare i contenuti dei dati inviati su HTTPS:
Al contrario, ecco come https://www.google.com/ è normalmente considerato attendibile:
Il computer si fida del DO_NOT_TRUST_FiddlerRoot
certificato perché è stato installato nel truststore dei certificati del sistema operativo.
Proxy per intercettare HTTPS
Hai indicato che HTTPS si comporta correttamente su Mozilla Firefox, che può essere configurato per utilizzare le proprie regole proxy indipendenti anziché le regole proxy del sistema operativo. Google Chrome utilizza il proxy del sistema operativo senza una semplice opzione per fare diversamente.
Passando attraverso il proxy a livello di sistema operativo di Fiddler, Fiddler può ora essere il MitM per acquisire dati HTTPS non crittografati pur servendo il sito. Fiddler recupera qualche pagina web, allora firma come "www.google.com" utilizzando il certificato che è stato attendibile in precedenza, DO_NOT_TRUST_FiddlerRoot
.
In queste circostanze, il malware può assumere sia il proxy che il certificato per fornirti il sito sbagliato mentre ti mostra ancora il . Vedo che questo porta a elaborati attacchi di phishing.
Problemi di sicurezza
Correlati allo scambio di stack di sicurezza: quali rischi per la sicurezza sono posti dai fornitori di software che distribuiscono proxy di intercettazione SSL sui desktop degli utenti
Come scriveva Eric Lawrence ,
Le capacità di intercettazione HTTPS di Fiddler (giustamente) sollevano sopracciglia tra gli utenti attenti alla sicurezza.
Ecco perché Fiddler avverte delle implicazioni di sicurezza dell'intercettazione del traffico HTTPS:
Per errore dell'utente o installazione di malware, Fiddler è stato associato a vari problemi:
Sebbene Fiddler stesso non sia un programma dannoso, il suo uso improprio e incomprensioni ha portato a cattiva reputazione passata e virus che fingono di essere Fiddler .
Rimozione
Non so se il tuo computer sia stato compromesso da qualche dirottatore di Fiddler, ma hai indicato che non hai tempo di cancellare il tuo computer e reinstallarlo, quindi speriamo che i seguenti passaggi possano sbarazzarsi di Fiddler e ripristinare il comportamento sicuro del web. (Raccomanderei comunque di reinstallare e modificare le password in seguito, soprattutto se sei seriamente interessato alla sicurezza. Hai scritto che Spybot - Search & Destroy ha trovato del malware.)
Prefazione: deconfigurare il violinista
Il poster originale ha scoperto questi passaggi aggiuntivi per risolvere il suo problema con Fiddler:
Alla fine ciò che è stato risolto era: Impostazioni -> Mostra impostazioni avanzate -> Sotto rete -> Modifica impostazioni proxy -> Avanzate -> Ripristina
e
Anche in Impostazioni Fiddler ho disabilitato le opzioni che gli consentono di decrittografare il traffico HTTPS prima di disinstallare e cancellare nuovamente i certificati.
Rimuovere i certificati di root di Fiddler
- Premi Win+r
- Aperto:
certmgr.msc
- Cerca in tutte le cartelle e rimuovi il
DO_NOT_TRUST_FiddlerRoot
certificato.
Disinstallare Fiddler
- Vai a Pannello di controllo »Programmi» Programmi e funzionalità.
- Disinstallare Fiddler. Una fonte afferma che Fiddler può essere chiamato "FiddlerRoot" o "BrowserSafeguard".
Cancella impostazioni proxy
Supponendo che normalmente non si utilizza un proxy diverso ...
- Vai a Pannello di controllo »Opzioni Internet.
- In Proprietà Internet, vai alla scheda "Connessioni".
- In "Impostazioni LAN (Local Area Network)", fai clic su "Impostazioni LAN".
- Cancella e deseleziona le impostazioni del proxy in questo modo:
Rimuovi malware
Come suggerito in precedenza su Super User , dovresti provare a trovare e rimuovere il malware originale che mostrava pagine Web HTTPS modificate.
Consiglio dettagliato:
come posso rimuovere spyware, malware, adware, virus, trojan o rootkit dannosi dal mio PC?