Virus de anuncios emergentes en Chrome y Firefox

9

Aparece un cuadro de anuncio emergente en cualquier sitio que abra. Intenté restablecer la configuración, deshabilitar las extensiones y eliminar a todos los usuarios de Chrome.

Parece que no se trata de Chrome, ya que también sucede lo mismo en Firefox que ni siquiera había abierto antes.

Sospecho que puede tener algo que ver con algunos repositorios que agregué últimamente, incluso si es así, ¿qué hacer?

Permítanme describir la ventana emergente ya que no puedo subir una imagen porque no tengo suficiente reputación. Se coloca en el medio de la página y no es tan grande. No se mueve con el resto de la página, permanece mientras se desplaza por la página. En el interior a veces hay anuncios de google. AdBlock bloquea el contenido pero no la ventana emergente en sí.

Una imagen de la ventana emergente

El resultado del elemento de inspección:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

ingrese la descripción de la imagen aquí

Nota: con AdBlock Plus es posible bloquearlo. Acabo de agregar la identificación del div de la caja a la lista de filtros, pero eso solo cura los síntomas, no la enfermedad real. Entonces el viaje continúa.

Acerca del escaneo con ClamTk: encontró una amenaza de 1732 que consiste principalmente (me refiero a casi todos) en archivos de Windows y, curiosamente, algunos de los propios archivos de ClamAV. Las únicas entradas significativas fueron estas:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Acabo de eliminar la cosa de Firefox pero no creo que otras cosas sean dañinas.

Ok, encontré este código sospechoso en la pestaña de fuentes de la herramienta de depuración de Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Incluso cuando intentas instalar Ubuntu desde el principio, está ahí.

Este tipo parece tener el mismo problema conmigo. Sospecho que este es un kit de raíz de algún tipo, pero ambos rkhuntery chkrootkitno encontré nada. Tal vez es un nuevo kit de raíz.

Probé otro enrutador sin suerte. Reiniciar el enrutador en gran medida no ayudó. Ya no se muestra en la máquina de Windows en la red o Windows en mi máquina (es un sistema de arranque dual) pero vi al menos una vez en ambos. Supongo que solo tengo una opción ahora.

14.04 malware rootkit popup-ads mumi
fuente
1
¿Podría agregar a su pregunta una instantánea de ese anuncio emergente o captura de pantalla de Chrome o Firefox?
Sergiy Kolodyazhnyy
2
Cargue la instantánea en imgur.com y agregue el enlace en su pregunta. Alguien pondrá la imagen real allí.
usuario68186
1
En Chrome, intenta ir chrome://pluginsy publicar una lista de lo que ves allí en la publicación principal.
MoonRunestar
1
Hmmm, la página de complementos es igual a la mía, parece que no hay nada sospechoso
Sergiy Kolodyazhnyy
2
Esto parece una inyección de anuncios de hombre en el medio. ¿Estás en una red confiable? ¿Puede publicar los detalles de su configuración de proxy, si está usando un proxy? Además, si es posible, ¿podría publicar un enlace al HTML completo de una página web que muestra la ventana emergente? Finalmente, ¿aparece la ventana emergente si visita una página encriptada, como su correo web?
Travis G.

Respuestas:

9

Como mencionó en el comentario que la otra computadora en la red comenzó a tener el mismo problema, es posible que la configuración de su enrutador esté alterada o que el enrutador esté infectado (sí, eso es posible). De hecho, su problema es muy similar a esta publicación de security.stackexchange.com. FIY, es posible que desee utilizar ese sitio en tales casos, porque hay más personas que se ocupan de este tipo de problemas.

OK, volviendo al problema. Si lo investiga un poco, encontrará que probablemente un problema muy común con los enrutadores es cuando se modifica la configuración de DNS. También hay malware más grave para los enrutadores. El servidor DNS es básicamente un traductor: dado que las computadoras solo manejan números, cuando escribe "google.com" en un navegador, su computadora enviará una solicitud a los servidores DNS diciendo "Hola, ¿cuál es la dirección IP de google.com?". El servidor DNS de su lado examina las bases de datos y encuentra qué IP pertenecen a google.com. Ahora, si se cambia la configuración de DNS de su enrutador, la solicitud se dirige a un servidor DNS falso, que lo redirigirá a un sitio web falso o un sitio web que parece real pero con malware.

Lo que se puede hacer es lo siguiente:

  • Acceda a la configuración de su enrutador y compruebe si se ha modificado la configuración de DNS. Por lo general, puede acceder a ellos escribiendo 192.168.0.1 en la barra de direcciones de Firefox o cualquier otro navegador, y debe abrir una página con todo tipo de configuraciones para su enrutador (lea el manual de su enrutador para asegurarse de que la dirección sea correcta). Pero si nunca antes ha mirado estas configuraciones, puede ser difícil determinar si algo ha cambiado o no. Además, observe si se cambió alguna configuración de enrutamiento o si ve algo sospechoso allí.

  • Restablece el enrutador a la configuración predeterminada. Nuevamente, esto se puede hacer a través de 192.168.0.1. Esto puede estar en "Opciones avanzadas", pero busque en la configuración o simplemente lea el manual. Una buena idea es reiniciar el enrutador después de cambiar la configuración a la predeterminada para asegurarse de que surta efecto. Si eso ayuda y la ventana emergente ya no aparece en ninguna de las máquinas, cambie la contraseña de administrador del enrutador a algo más que antes y algo fuerte, además, tal vez cambie la contraseña wifi (WPA PSK o lo que sea que esté usando).

  • Consigue un nuevo enrutador. Puede comprar uno usted mismo y configurarlo o comunicarse con su proveedor de servicios de Internet, explicando la situación. También pueden ofrecer más opciones.

Entre otras cosas, lo que haría en tal caso es hacer algunas pruebas pequeñas.

  • Usted mencionó que se conecta por wifi y que tiene archivos de Windows allí. Entonces, ¿es una computadora portátil? usted bota doble? Intente llevarlo a otra red y vea si la ventana emergente persiste. Si no aparece en otra red, definitivamente es su enrutador.

  • ¿Aparece en Windows? Si es el enrutador, definitivamente no está relacionado con el sistema operativo o sus navegadores ni nada de eso.

  • Cambia tu configuración de DNS en Ubuntu. El problema es que el Administrador de red de Ubuntu por defecto permitirá que un conector dnsmaq decida qué DNS usar (y generalmente será el proveedor de su servicio de Internet). Ahora, puede usar su propio DNS independientemente de lo que ofrezca el proveedor de servicios de Internet. Para hacerlo, abra el indicador de Networ Manager en la esquina lateral derecha y vaya a Editar conexiones. Seleccione la red y haga clic en el botón Editar. Vaya a la pestaña IPv4, cambie el menú desplegable de "Automático (DHCP)" a "Solo direcciones automáticas (DHCP)", y donde los servidores DNS escriban el servidor DNS que desee. Puede elegir 8.8.8.8 (DNS público de Google). Yo uso OpenDNS (208.67.222.222). Estos son bien conocidos y confiables. Luego abra la terminal y escriba sudo nano /etc/NetworkManager/NetworkManager.confy cambie la línea dns=dnsmasqa#dns=dnsmasq. Guarde el archivo con Ctrl + O y salga con Ctrl + X. Ahora puede hacer sudo service network-manager restarto simplemente reiniciar la computadora. Prefiero reiniciar. Conéctese nuevamente a su red, y una vez listo en el tipo de terminal nm-tool | tail. Debería confirmar que está utilizando su DNS seleccionado. Si la ventana emergente no persiste con dicha configuración, definitivamente el problema del DNS del enrutador. Los pasos que he seguido aquí son los mismos que describí en mi otra publicación aquí

Eso es. De ninguna manera soy un experto en seguridad informática, por lo que todo en esta publicación es lo mejor que puedo sugerir. ¡La mejor de las suertes! y háganos saber si esto ayuda, o cómo resolvió el problema al final.

Sergiy Kolodyazhnyy
fuente
El reinicio completo en el enrutador es probablemente la mejor opción que puede hacer usted mismo
Sergiy Kolodyazhnyy
1

¿Podría ser su configuración de Proxy enrutar su tráfico a través de algún servidor que inyecta esto en el HTML? Prueba esto desde tu terminal:

echo $http_proxy

Debería volver sin nada. (O al menos nada inesperado).

Chrisky
fuente
1
Sí, no imprimió nada
mumi
1
OKAY. Entonces, probablemente no sea una cosa de poder. Otra sugerencia: ¿ha intentado activar el Depurador de Chrome (F12), usar la pestaña Red, visitar una página simple y luego mirar el tráfico de la Red? ¿El código de la ventana emergente se sirve aquí? O en su defecto: Wireshark. Nuevamente, visite la página más simple que genera un anuncio y vea de dónde proviene el tráfico. Si no viene a través de la red, entonces sí, probablemente sea un complemento.
Chrisky
De alguna manera se detuvo en Chrome, pero en Firefox se muestra en la red. pero realmente no entendí lo que significan. Son solo dominios que usan anuncios de Google para anunciarse. Si hay una manera de compartir el resultado de la herramienta de red, puedo hacerlo.
mumi
0

Solo reinstalar los navegadores debería solucionar esto. Tuve un problema similar y eliminé la mayor cantidad posible de barras de herramientas; Pero nada ayudó. Si pudiera, haga una copia de seguridad de los marcadores y vuelva a instalar los navegadores.

vembutech
fuente
parece que no tiene nada que ver con los navegadores, pero lo probará si nada ayuda al final.
mumi
0

Intente instalar Ad-block plus addon para Chrome y Firefox desde Chrome Web store y Firefox Addon store respectivamente. Eso debería eliminar cualquier cosa errática como tu problema.

Espero que esto ayude...

manishraj2011
fuente
Las extensiones de prevención de anuncios bloquean los anuncios dentro del cuadro, pero no el cuadro en sí. Es por eso que creo que es probablemente un tipo de malware. Pero gracias.
mumi
1
ABP puede bloquear la caja también ...
manishraj2011
1
Logré evitar que se mostrara bloqueando su ID div de la configuración de adblock, por lo que prácticamente el problema está resuelto, pero puede haber razones más profundas, así que déjame esperar un poco para aceptar esto como respuesta, pero muchas gracias.
mumi
0

Puede ser una extensión del navegador. Ingrese en Menú> Herramientas> Extensiones, desinstale todas las extensiones que considere sospechosas.

Por lo tanto, puede intentar eliminar los archivos de configuración de estos navegadores.

Cierre el navegador, abra la terminal y realice:

rm -fR ~/.config/google-chrome

Abre el navegador.

Buena suerte.

Marcos Silveira
fuente
Solo adblock está activo ahora y realmente no tengo mucha extensión. Solo una pregunta sobre la eliminación de cosas en un sistema Linux: ¿es esto reversible?
mumi
1
Si elimina este directorio, no causará ningún problema en su sistema. El directorio ./config/google-chrome se crea cuando abre el navegador por primera vez. Cuando lo elimina y vuelve a abrir el navegador, el directorio se crea nuevamente. Entonces, si no sincroniza sus marcadores, le recomiendo cambiar el nombre del directorio usando, mv ~/.config/google-chrome ~/.config/google-chrome-backuppor ejemplo.
Marcos Silveira
Hmm ... Eso no funcionó para mí :( Me refiero no a la copia de seguridad sino a eliminar el archivo de configuración.
mumi
@mumi Mencionaste que de alguna manera se detuvo en Chrome. ¿Se detuvo después de eliminar la carpeta y reiniciar? O simplemente detenido al azar?
Sergiy Kolodyazhnyy
@Xieerqi se detuvo al azar y regresó, además comenzó en la otra computadora de la red
mumi
0

Una nueva instalación de ubuntu parece resolver el problema.

mumi
fuente