Czy coś infekuje moje wyszukiwania w Google?

2

Zacząłem eksperymentować z tworzeniem skryptów użytkownika przeglądarki do wyszukiwania w Google, a po otwarciu konsoli JavaScript zauważyłem coś, co wydaje mi się bardzo podejrzane:

The page at https://www.google.com.au/search?oq=XYZ&sourceid=chrome&ie=UTF-8&q=XYZ displayed insecure content from http://50.116.62.47/js/chromeServerV45.js.
The page at about:blank displayed insecure content from http://96.126.107.154/amz/google.php?callback=a&q=XYZ&country=US.

(XYZ jest symbolem zastępczym dla wszystkich wyszukiwanych haseł.)

Czy jest prawdopodobne, że wybrałem infekcję przeglądarki drive-by? Próbowałem wszelkiego rodzaju wyszukiwań tych adresów URL i innych słów kluczowych, ale nie miałem szczęścia znaleźć niczego rozstrzygającego na temat tego, czy są złośliwe, czy jakie są:

  • 50.116.62.47
  • chromeServerV45.js
  • 96.126.107.154
  • amz/google.php

Jedyne rozszerzenia, które zainstalowałem, są powszechnie używane lub napisane przeze mnie. Ale coś innego jest dziwne i nie jestem pewien, czy to tylko zbieg okoliczności. Zaktualizowałem dzisiaj przeglądarkę Windows Chrome do wersji 23.0.1271.64 m, a teraz moja karta Rozszerzenia oraz karta ustawień są puste, więc nie mogę spróbować wyłączyć moich rozszerzeń.


Oto kilka dyskusji, które udało mi się znaleźć do tej pory, ale tak naprawdę nie rozumiem i nie rozumiem:

hippietrail
źródło
Czy próbowałeś uruchomić skanowanie w poszukiwaniu złośliwego oprogramowania za pomocą MalwareBytes lub podobnego?
BrenBarn
@BrenBarn: Spyboy Search & Destroy znalazł tylko jeden plik cookie DoubleClick. Malwarebytes nic nie znalazł podczas szybkiego wyszukiwania i teraz szuka pełnego wyszukiwania przez 1 godzinę i 45 minut, nie znajdując jeszcze niczego ...
hippietrail
Poszedłem do 50.116.62.47i to mnie przekierowało localhost. Zgaduję, że treść jest podawana z twojego komputera? Spójrz na otwarte porty, czy jest coś na 80?
ta.speot.is
@ ta.speot.is: Tak, pamiętam, że widziałem to samo.
Korzystam
@BrenBarn: Malwarebytes został zakończony. Znaleziono tylko jedną rzecz, o nazwie „PUP.HiddenStart.H”, która była w xyz \Downloads\software (other)\hstart.exe. Teraz, gdy korzystam z Gmaila lub wyszukiwarki Google w Google Chrome, wciąż otrzymuję jedno ostrzeżenie, ale jak dotąd nie drugie. Ten pozostaje:http://66.228.34.50/js/chromeServerV45.js
hippietrail

Odpowiedzi:

1

Moja karta rozszerzeń zaczęła ponownie działać i mogłem przeglądać rozszerzenia jeden po drugim po uruchomieniu Spybot Search & Destroy i Malwarebytes.

Odkryłem, że źródłem 50.116.62.47/js/chromeServerV45.jsbyło:

YouTube Downloader: MP3 / HD Video Download 13.0
Pobierz dowolny film z YouTube jako plik MP3 lub HD. Dodaje przycisk pobierania do stron wideo YouTube. Odwiedź stronę
ID: jkkeahicimadnjhdamcladhobabaafbg

Zainstalowałem go, ponieważ było to oficjalnie obsługiwane rozszerzenie wykonane przez YouTube, co oczywiście oznacza, że ​​wykonane przez Google. Zauważyłem, że nie ma go już w Chrome Web Store.

hippietrail
źródło