Zacząłem eksperymentować z tworzeniem skryptów użytkownika przeglądarki do wyszukiwania w Google, a po otwarciu konsoli JavaScript zauważyłem coś, co wydaje mi się bardzo podejrzane:
The page at https://www.google.com.au/search?oq=XYZ&sourceid=chrome&ie=UTF-8&q=XYZ displayed insecure content from http://50.116.62.47/js/chromeServerV45.js.
The page at about:blank displayed insecure content from http://96.126.107.154/amz/google.php?callback=a&q=XYZ&country=US.
(XYZ jest symbolem zastępczym dla wszystkich wyszukiwanych haseł.)
Czy jest prawdopodobne, że wybrałem infekcję przeglądarki drive-by? Próbowałem wszelkiego rodzaju wyszukiwań tych adresów URL i innych słów kluczowych, ale nie miałem szczęścia znaleźć niczego rozstrzygającego na temat tego, czy są złośliwe, czy jakie są:
50.116.62.47
chromeServerV45.js
96.126.107.154
amz/google.php
Jedyne rozszerzenia, które zainstalowałem, są powszechnie używane lub napisane przeze mnie. Ale coś innego jest dziwne i nie jestem pewien, czy to tylko zbieg okoliczności. Zaktualizowałem dzisiaj przeglądarkę Windows Chrome do wersji 23.0.1271.64 m, a teraz moja karta Rozszerzenia oraz karta ustawień są puste, więc nie mogę spróbować wyłączyć moich rozszerzeń.
Oto kilka dyskusji, które udało mi się znaleźć do tej pory, ale tak naprawdę nie rozumiem i nie rozumiem:
- dla
96.126.107.154
: „anomalous-javascript-pt2”
źródło
50.116.62.47
i to mnie przekierowałolocalhost
. Zgaduję, że treść jest podawana z twojego komputera? Spójrz na otwarte porty, czy jest coś na 80?\Downloads\software (other)\hstart.exe
. Teraz, gdy korzystam z Gmaila lub wyszukiwarki Google w Google Chrome, wciąż otrzymuję jedno ostrzeżenie, ale jak dotąd nie drugie. Ten pozostaje:http://66.228.34.50/js/chromeServerV45.js
Odpowiedzi:
Moja karta rozszerzeń zaczęła ponownie działać i mogłem przeglądać rozszerzenia jeden po drugim po uruchomieniu Spybot Search & Destroy i Malwarebytes.
Odkryłem, że źródłem
50.116.62.47/js/chromeServerV45.js
było:Zainstalowałem go, ponieważ było to oficjalnie obsługiwane rozszerzenie wykonane przez YouTube, co oczywiście oznacza, że wykonane przez Google. Zauważyłem, że nie ma go już w Chrome Web Store.
źródło