Popup annuncio virus su Chrome e Firefox

9

Viene visualizzata una finestra di annuncio pop-up in qualsiasi sito che sto aprendo. Ho provato a ripristinare le impostazioni, disabilitare le estensioni, rimuovere tutti gli utenti su Chrome.

Sembra che non si tratti di Chrome poiché la stessa cosa accade anche su Firefox, che non avevo mai aperto prima.

Ho il sospetto che potrebbe avere qualcosa a che fare con alcuni repository che ho aggiunto di recente, anche se quindi cosa fare?

Lasciami descrivere il pop-up poiché non riesco a caricare un'immagine perché non ho abbastanza reputazione. Si posiziona al centro della pagina e non è così grande. Non si sposta con il resto della pagina, rimane durante lo scorrimento della pagina. All'interno ci sono a volte annunci Google. AdBlock blocca il contenuto ma non il pop-up stesso.

Un'immagine del pop-up

Il risultato dell'ispezione dell'elemento:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

inserisci qui la descrizione dell'immagine

Nota: utilizzando AdBlock Plus è possibile bloccarlo. Ho appena aggiunto l'id del div del box all'elenco dei filtri, ma è solo per curare i sintomi e non la malattia reale. Quindi il viaggio continua.

Informazioni sulla scansione con ClamTk: è stata rilevata una minaccia del 1732 che consiste principalmente (intendo quasi tutti) di file Windows e, in modo interessante, alcuni dei file di ClamAV. Solo le voci significative erano queste:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Ho appena eliminato la cosa di Firefox ma non credo che altre cose siano dannose.

Ok, ho trovato questo codice sospetto dalla scheda fonti dello strumento debugger di Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Anche quando si tenta di installare Ubuntu dall'inizio è lì.

Questo ragazzo sembra avere lo stesso problema con me. Sospetto che questo sia un root kit di qualche tipo ma entrambi rkhuntere chkrootkitnon ho trovato nulla. Forse è un nuovo kit di root.

Ho provato un altro router senza fortuna. Il riavvio del router numerose volte non ha aiutato. Non viene più visualizzato sul computer Windows in rete o su Windows (è un sistema a doppio avvio) ma ho visto almeno una volta su entrambi. Immagino di avere solo un'opzione ora.

14.04  malware  rootkit  popup-ads 
Mumi
fonte
1
Potresti aggiungere alla tua domanda un'istantanea di quell'annuncio pop-up o screenshot di Chrome o Firefox?
Sergiy Kolodyazhnyy,
2
Carica l'istantanea su imgur.com e aggiungi il link alla tua domanda. Qualcuno metterà la foto reale lì dentro.
user68186,
1
In Chrome, prova ad andare chrome://pluginse a pubblicare un elenco di ciò che vedi lì nel post principale.
MoonRunestar,
1
Hmmm, la pagina dei plugin è uguale alla mia - niente di strano lì, a quanto pare
Sergiy Kolodyazhnyy,
2
Sembra un'iniezione man-in-the-middle di annunci. Sei su una rete fidata? Puoi pubblicare i dettagli delle tue impostazioni proxy, se stai usando un proxy? Inoltre, se possibile, potresti pubblicare un link al codice HTML completo di una pagina Web che mostra il popup? Infine, appare il popup se visiti una pagina crittografata, come la tua webmail?
Travis G.,

Risposte:

9

Dato che hai menzionato nel commento che l'altro computer in rete ha iniziato a presentare lo stesso problema, è possibile che le impostazioni del router siano alterate o che il router sia infetto (sì, è possibile). In effetti, il tuo problema è molto simile a questo post di security.stackexchange.com. FIY, potresti voler usare quel sito in questi casi, perché ci sono più persone che affrontano questo tipo di problemi.

OK, torniamo al problema. Se lo cerchi un po ', scoprirai che probabilmente un problema molto comune con i router è quando le impostazioni DNS vengono modificate. Esistono anche malware più gravi anche per i router. Il server DNS è fondamentalmente un traduttore: poiché i computer trattano solo numeri, quando si digita "google.com" in un browser, il computer invierà una richiesta ai server DNS dicendo "Ehi, qual è l'indirizzo IP per google.com?". Il server DNS dalla sua parte guarda attraverso i database e trova quali IP appartengono a google.com. Ora, se le impostazioni DNS del tuo router vengono modificate, la richiesta viene inviata a un server DNS falso, che ti reindirizzerà a un sito Web falso o un sito Web che sembra reale ma con malware.

Cosa si può fare è il seguente:

  • Accedi alle impostazioni del tuo router e controlla se le impostazioni DNS sono state modificate. In genere puoi accedervi digitando 192.168.0.1 nella barra degli indirizzi di Firefox o di qualsiasi altro browser e dovrebbe aprire una pagina con tutti i tipi di impostazioni per il tuo router (leggi il manuale del router per assicurarti che l'indirizzo sia corretto). Ma se non hai mai esaminato queste impostazioni prima, potrebbe essere difficile determinare se qualcosa è stato modificato o meno. Inoltre, controlla se sono state modificate le impostazioni di routing o vedi qualcosa di sospetto lì.

  • Ripristina le impostazioni predefinite del router. Ancora una volta, questo può essere fatto attraverso 192.168.0.1. Questo può trovarsi in "Opzioni avanzate", ma cerca nelle impostazioni o leggi il manuale. Una buona idea è riavviare il router dopo aver ripristinato le impostazioni predefinite per assicurarsi che abbia effetto. Se questo aiuta e il popup non compare più su nessuna macchina, cambia la password dell'amministratore del router in qualcos'altro rispetto a prima e qualcosa di forte, oltre a cambiare la password wifi (WPA PSK o qualunque cosa tu stia utilizzando).

  • Ottieni un nuovo router. Puoi acquistarne uno tu stesso e configurarlo o contattare il tuo fornitore di servizi Internet, spiegando la situazione. Possono offrire anche più opzioni.

Tra l'altro, quello che farei in tal caso è fare alcuni piccoli test.

  • Hai detto che ti connetti tramite wifi e ci sono file Windows lì. Quindi è un laptop? doppio avvio? Prova a portarlo su un'altra rete e vedi se il pop-up persiste. Se non viene visualizzato su un'altra rete, è sicuramente il tuo router.

  • Viene visualizzato in Windows? Se si tratta del router, non è sicuramente correlato al sistema operativo o ai browser o qualcosa del genere.

  • Modifica le tue impostazioni per DNS in Ubuntu. Il fatto è che Ubuntu Network Manager per impostazione predefinita consentirà a un plug-in dnsmaq di decidere quale DNS utilizzare (e in genere sarà il tuo provider di servizi Internet '). Ora puoi utilizzare il tuo DNS indipendentemente da ciò che fornisce il provider di servizi Internet. Per fare ciò: apri l'indicatore Networ Manager nell'angolo destro e vai a Modifica connessioni. Seleziona la rete e fai clic sul pulsante Modifica. Vai alla scheda IPv4, modifica il menu a discesa da "Automatico (DHCP)" a "Solo indirizzi automatici (DHCP)" e dove i server DNS digitano qualunque server DNS ti piaccia. Puoi scegliere 8.8.8.8 (DNS pubblico di Google). Uso OpenDNS (208.67.222.222). questi sono ben noti e affidabili. Quindi aprire il terminale e digitare sudo nano /etc/NetworkManager/NetworkManager.confe modificare la riga dns=dnsmasqin#dns=dnsmasq. Salvare il file con Ctrl + O e uscire con Ctrl + X. Ora puoi fare sudo service network-manager restarto semplicemente riavviare il computer. Preferirei riavviare. Connettiti di nuovo alla tua rete e una volta pronto nel tipo di terminale nm-tool | tail. Dovrebbe confermare che stai utilizzando il DNS selezionato. Se il popup non persiste con tali impostazioni, sicuramente il problema DNS del router. I passaggi che ho passato qui sono gli stessi descritti nell'altro mio post qui

Questo è tutto. Non sono affatto esperto di sicurezza informatica, quindi tutto in questo post è il migliore che posso suggerire. Buona fortuna! e facci sapere se questo aiuta, o come hai risolto il problema alla fine.

Sergiy Kolodyazhnyy
fonte
Il ripristino completo nel router è probabilmente l'opzione migliore che puoi fare da solo
Sergiy Kolodyazhnyy
1

Potrebbero essere le tue impostazioni proxy che instradano il tuo traffico tramite un server a iniettarlo nel codice HTML? Prova questo dal tuo terminale:

echo $http_proxy

Dovrebbe tornare con niente. (O almeno nulla di inaspettato.)

Chrisky
fonte
1
Sì, non ha stampato nulla
mumi,
1
OK. Quindi probabilmente non è una cosa proxy. Un altro suggerimento: hai provato ad avviare Chrome Debugger (F12), utilizzare la scheda Rete, visitare una semplice pagina, quindi guardare il traffico di rete? Il codice per il pop-up è disponibile ovunque? O in mancanza: Wireshark. Ancora una volta, visita la pagina più semplice che genera un annuncio e vedi da dove proviene il traffico. Se non arriva attraverso la rete, sì, probabilmente è un plug-in.
Chrisky,
In qualche modo si è fermato su Chrome ma su Firefox si mostra sulla rete. ma non capivo davvero cosa significassero. Sono solo domini che utilizzano annunci Google per fare pubblicità. Se c'è un modo per condividere il risultato dello strumento di rete, posso farlo.
mumi,
0

La semplice reinstallazione dei browser dovrebbe risolvere questo problema. Ho avuto un problema simile e rimosso quante più barre degli strumenti possibili; ma niente ha aiutato. Se puoi, esegui un backup dei segnalibri e reinstalla i browser.

vembutech
fonte
sembra che non abbia nulla a che fare con i browser, ma ci proverà se alla fine non aiuta nulla.
mumi,
0

Prova a installare Ad-block plus addon per Chrome e Firefox rispettivamente dal Chrome Web Store e dal Firefox Addon Store . Questo dovrebbe sbarazzarsi di qualcosa di irregolare come il tuo problema.

Spero che sia di aiuto...

manishraj2011
fonte
Gli annunci che impediscono le estensioni bloccano gli annunci all'interno della casella ma non la casella stessa. Ecco perché penso che sia probabilmente una specie di malware. Ma grazie.
mumi,
1
Anche ABP può bloccare la scatola ...
manishraj2011,
1
Sono riuscito a impedirgli di mostrarsi bloccando il suo ID div dalle impostazioni di blocco degli annunci, quindi praticamente il problema è stato risolto, ma potrebbero esserci ragioni più profonde, quindi aspettate un po 'di accettarlo come risposta, ma grazie mille.
mumi,
0

Può essere un'estensione del browser. Inserisci in Menu> Strumenti> Estensioni, disinstalla tutte le estensioni che ritieni sospette.

Quindi, puoi provare a rimuovere i file di configurazione da questi browser.

Chiudi il browser, apri il terminale ed esegui:

rm -fR ~/.config/google-chrome

Apri il browser

In bocca al lupo.

Marcos Silveira
fonte
Al momento è attivo solo adblock e in realtà non ho molta estensione. Solo una domanda sulla rimozione di cose su un sistema Linux: è reversibile?
mumi,
1
Se rimuovi questa directory, non causerà alcun problema al tuo sistema. La directory ./config/google-chrome viene creata alla prima apertura del browser. Quando lo rimuovi e riapri il browser, la directory viene nuovamente creata. Quindi, se non sincronizzi i tuoi segnalibri, ti consiglio di rinominare la directory usando mv ~/.config/google-chrome ~/.config/google-chrome-backupad esempio.
Marcos Silveira,
Hmm .. Questo non ha funzionato per me :( non intendo la cosa di backup ma l'eliminazione del file di configurazione.
Mumi,
@mumi Hai detto che si è fermato in qualche modo in Chrome. Si è interrotto dopo aver eliminato la cartella e riavviato? O semplicemente fermato casualmente?
Sergiy Kolodyazhnyy,
@Xieerqi Si fermò e tornò a caso e iniziò sull'altro computer della rete
mumi
0

Una nuova installazione di Ubuntu sembra risolvere il problema.

Mumi
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.