@remzalp
Программер чего попало на чем попало

Перехватывается HTTPS, подписывается левой подписью, как найти виноватого?

На компьютере товарища столкнулся с проблемой - какая-то нехорошая программа:
1. Внедряется в https трафик, переподписывает сертификаты сервера сертификатом московской конторы "TNS GALLUP MEDIA"
2. Добавила этот сертификат в хранилище доверенных корневых сертификатов.

Напоминает ту самую бумажку из трёх мушкетёров "Податель сего документа действует по моему распоряжению и на благо Франции. Ришелье"

Собственно подтверждение:
N6YCW0dXny4.jpg-Z9GwKn7qiU.jpgIDHvx-ABjKQ.jpg

Из максимально подозрительного - антивирус Аваст, но отключение всех трех фильтров (файловый, почты и веб), с последующей перезагрузкой делу не помогло.

Удалось заметить странное поведение только благодаря работе из виртуальной машины - там то в хранилище доверенных сертификатов так просто не дописаться.

Помогите в диагностике, может кто-то уже сталкивался?

UPD: виновником оказался плагин ResearchBar от компании интернет-анкета
Как и следовало ожидать... Спасибо!
  • Вопрос задан
  • 1419 просмотров
Решения вопроса 1
@res2001
Developer, ex-admin
Эта TNS, на сколько я понимаю, собирает информацию с компов, потом стряпает из нее разные опросы и рейтинги. Сам не сталкивался именно с этой дрянью, но тут подход стандартный к любому ПО с подобным поведением. Оно к вам, скорее всего, попало при установке какого-либо бесплатного софта, не отжали где-то галку и т.п. Довольно распространенный способ распространения. Вроде бы и легальный, но за такое поведение хочется придушить :)

Можно предпринять следующее (перечислено по степени сложности):
1.Проверьте настройки прокси-сервера браузеров и если у вас типичная конфигурация (без прокси), то удалите настройки прокси, если они есть. Удалите все не нужные программы и программы, назначения которых вы не знаете, а так же недавно установленные программы (есть риск удалить драйвера устройств). После удаления программ в профиле пользователя и общем профиле (c:\ProgramData) удалить каталоги этих программ из AppData. Почистить каталог %TEMP% пользователя. Очистить кэши браузеров, а еще лучше удалить профили браузеров.
2.Создайте нового пользователя в системе, зайдите им, если такого же поведения не будет - значит ваш шпион прописался в профиль предыдущего пользователя. Можно перенести нужные данные от старого пользователя, а старую учетку удалить. Либо, если учетка дорога как память - удалить профиль старого пользователя, зайти им, профиль создаться с чистого листа. Либо переименовать каталог с профилем, создать новый и перенести информацию. В общем тут действуйте осторожней, чтоб не потерять свою информацию. Если же ничего ценного нет, то можно смело удалять профиль.
3.Если ничего из вышеперечисленного не помогает, то шпион проник в систему достаточно глубоко - установился в Program Files или в виндовый каталог. Найти загрузочный диск/флэшку с антивирусом: есть у каспера, у др.веба готовые сборки. Натравить полную проверку с удалением найденного.
4.Переустановить винду с форматированием системного раздела.

Лично я начал бы сразу со 2 пункта. Если не поможет то 1,3,4. Пункт 3 не особо действенный, но исключать его не стоит.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Artorius
В 57 Chrome из за этой программы, подменяющей https сертификат, не открываются сайты по https
Вот тема https://productforums.google.com/forum/?utm_medium...
Спасибо за UPD про ResearchBar
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы