Перехватывается HTTPS, подписывается левой подписью, как найти виноватого?

Question

[PrAw]

На компьютере товарища столкнулся с проблемой - какая-то нехорошая программа:
1. Внедряется в https трафик, переподписывает сертификаты сервера сертификатом московской конторы "TNS GALLUP MEDIA"
2. Добавила этот сертификат в хранилище доверенных корневых сертификатов.

Напоминает ту самую бумажку из трёх мушкетёров "Податель сего документа действует по моему распоряжению и на благо Франции. Ришелье"

Собственно подтверждение:




Из максимально подозрительного - антивирус Аваст, но отключение всех трех фильтров (файловый, почты и веб), с последующей перезагрузкой делу не помогло.

Удалось заметить странное поведение только благодаря работе из виртуальной машины - там то в хранилище доверенных сертификатов так просто не дописаться.

Помогите в диагностике, может кто-то уже сталкивался?

UPD: виновником оказался плагин ResearchBar от компании интернет-анкета
Как и следовало ожидать... Спасибо!

Comments

[Иван]

Аваст тоже подменяет серт браузерам (внедряется для скана трафика), но там в названии сертификата написанной, что он Авастовский.

Answer 1

[res2001]

Эта TNS, на сколько я понимаю, собирает информацию с компов, потом стряпает из нее разные опросы и рейтинги. Сам не сталкивался именно с этой дрянью, но тут подход стандартный к любому ПО с подобным поведением. Оно к вам, скорее всего, попало при установке какого-либо бесплатного софта, не отжали где-то галку и т.п. Довольно распространенный способ распространения. Вроде бы и легальный, но за такое поведение хочется придушить :)

Можно предпринять следующее (перечислено по степени сложности):
1.Проверьте настройки прокси-сервера браузеров и если у вас типичная конфигурация (без прокси), то удалите настройки прокси, если они есть. Удалите все не нужные программы и программы, назначения которых вы не знаете, а так же недавно установленные программы (есть риск удалить драйвера устройств). После удаления программ в профиле пользователя и общем профиле (c:\ProgramData) удалить каталоги этих программ из AppData. Почистить каталог %TEMP% пользователя. Очистить кэши браузеров, а еще лучше удалить профили браузеров.
2.Создайте нового пользователя в системе, зайдите им, если такого же поведения не будет - значит ваш шпион прописался в профиль предыдущего пользователя. Можно перенести нужные данные от старого пользователя, а старую учетку удалить. Либо, если учетка дорога как память - удалить профиль старого пользователя, зайти им, профиль создаться с чистого листа. Либо переименовать каталог с профилем, создать новый и перенести информацию. В общем тут действуйте осторожней, чтоб не потерять свою информацию. Если же ничего ценного нет, то можно смело удалять профиль.
3.Если ничего из вышеперечисленного не помогает, то шпион проник в систему достаточно глубоко - установился в Program Files или в виндовый каталог. Найти загрузочный диск/флэшку с антивирусом: есть у каспера, у др.веба готовые сборки. Натравить полную проверку с удалением найденного.
4.Переустановить винду с форматированием системного раздела.

Лично я начал бы сразу со 2 пункта. Если не поможет то 1,3,4. Пункт 3 не особо действенный, но исключать его не стоит.

Comments

[chupasaurus]

Дополню: подменой сертификата ещё любят заниматься плагины для браузеров, стоит покопать и в эту сторону.

[res2001]

chupasaurus: В 1 пункте я пишу, что хорошо бы удалить профиль браузера, как раз с прицелом на это.

[PrAw]

не, тут всё еще веселее - заметили то косяк внутри виртуалки, в которой линукс. Так что это на уровне сетевого стека.

[chupasaurus]

PrAw: плагин (как я и сказал) или сетевой стек - разные немного вещи :)

[PrAw]

хорошо покопавшись удалось найти относительно честно (то есть никто не признаётся. но можно удалить) приложение, которое слишком много себе позволяло. Спасибо!

Answer 2

[Artorius]

В 57 Chrome из за этой программы, подменяющей https сертификат, не открываются сайты по https
Вот тема https://productforums.google.com/forum/?utm_medium...
Спасибо за UPD про ResearchBar