Infección de malware (¿software publicitario?) en Linux

Navega tus respuestas
4

Recientemente me he quedado atascado con un malware (adware / virus?) que no puedo eliminar. Aquí está la condición:

  • Estoy usando Linux ( Archlinux ), está actualizado y no instalo ningún paquete fuera de los repositorios estándar MÁS algunos paquetes AUR bastante conocidos. Comprobaré si este es el caso.

  • Aparece una ventana emergente ( anuncios por DNS Unlocker ) en Chromium , FF (repo estándar) y Google-Chrome-Stable (instalado desde AUR).

  • Tengo un cuadro de Windows y Android que se sincronizan con una sola cuenta

  • Estoy usando Tor (la mayoría de las veces) con puentes que se han proporcionado a través de correo electrónico oficial

  • La lista de mis instalaciones y complementos recientes se encuentra debajo de los enlaces:

    sudo cat /var/log/pacman.log | grep -i installed :      enlace

    sudo pacman -Qm :      enlace

    Complementos del navegador:
        Administrador de marcadores (ID: gmlllbghnfkpflemihljekbapjopfjik),
        Evernote Clipper (ID: pioclpoplcdbaefihamjohnefbikjilc),
        Botón de Google Scholar (ID: ldipcbpaocekfooobnbcddclnhejkcpn),
        LastPass (ID: hdokiejnpimakedhajhdlcegeplioahd),
        Proxy SwitchyOmega (ID: padekgcemlokbadohgkifijomclgjgif),
        Guardar en Pocket (ID: niloccemoadcdkdjlinkgdfekeahmflj),
        ScriptSafe (ID: oiigbmnaadbkfbmpbfijlflahbdbdgdf),
        Zotero Connector (ID: ekhagklcjbdpajgpjgmbionohlpdbjgc)

  • $ cat /etc/hosts

      

    127.0.0.1 localhost.localdomain localhost
      :: 1 localhost.localdomain localhost

    He comprobado la configuración de red y mi ip está configurada en DHCP.

  • se ha reportado algún caso similar recientemente, pero hay una clara diferencia entre lo que veo.
    enlace

  • los bloques emergentes si deshabilito esta secuencia de comandos en Script safe, scriptsafe muestra el javascript como:
    m51.dnsqa.me (1)
    cdn.scarabresearch.com (1)
    Estoy seguro de la primera, pero la segunda podría ser segura.

  • No estoy seguro, pero parece que en modo seguro (incógnito) el mensaje emergente no se muestra. En cuanto a la extensión, he intentado el navegador recién instalado y se vuelve a infectar.

  • el secuestro de URL se ha provocado en las búsquedas de Google (haciendo clic en la nueva pestaña de enlaces). y las ventanas emergentes se ven en Amazon y en la mayoría de los sitios de compras electrónicas. También lo he visto en TED.org lo que me impide descargar el video.

Después de algún día luchando con el problema no pude encontrar la ruta.

He desinstalado ( pacman -Rs chromium ) y elimino las carpetas de los navegadores manualmente ( rm -rf .chromium, .config/chromium, /local/share/chromium ). Con y sin habilitar la sincronización (incluso restablecer datos de sincronización en el servidor) veo las ventanas emergentes después de un tiempo. Esto sucede también en FF y Google-Chrome. Puede que se excluya la ópera. Todavía no la he probado.

Hay dos opciones que sospecho:

  • DNS, he comprobado resolve.conf y /etc/hosts y Network Settings pero no he visto ninguna configuración que no sea localhost o DHCP y soy un tipo de novato y no tengo conocimiento de ninguna otra vulnerabilidad con respecto al DNS.
  • Tengo un malware instalado localmente que no puedo encontrar.
  • los puentes oficiales de Tor con no creo que sean los casos (los he cambiado pero no cambié el resultado. A veces lo uso con puentes de scramblesuit, todos de eamil oficial).

Actualización:

  • No uso el paquete del navegador tor (estoy usando tor como servicio y configurando proxies)

  • Otros dispositivos están conectados al enrutador y no están afectados por el software malicioso

pregunta Neper 10.09.2015 - 08:19
fuente

2 respuestas

1

Cuando dices que estás usando tor, ¿estás usando el paquete del navegador tor? ¿O la versión independiente en la que lo configura como un servidor proxy y se conecta para usar su navegador normal?

Lo pregunto porque a partir de sus detalles, sospecho que es un problema de DNS, pero el paquete del navegador tor no usa la configuración de su DNS (al menos no de forma predeterminada), por lo que si está usando el paquete del navegador y sigue teniendo el problema, es otra cosa.

Lo que sospecho que pudo haber ocurrido es que la configuración de DNS en su enrutador puede haber sido comprometida, por lo que debería suceder que se realice una consulta de DNS:

  1. Aparece primero en su computadora local (es decir, /etc/hosts )
  2. Su DNS ascendente de resolve.conf suele ser su enrutador local y está configurado por DHCP (normalmente, otras computadoras en su red y registros DNS almacenados en caché)
  3. Su enrutador mira su DNS ascendente, este suele ser su ISP

Pero sospecho que su enrutador se ha configurado para usar un servidor DNS ascendente malicioso que redirige su tráfico a servidores / servidores proxy maliciosos que inyectan contenido en su navegación.

Como experimento, intente arrancar un CD en vivo y ver si todavía tiene el problema, si lo hace, restableceré de fábrica su enrutador 1 (o, mejor aún, volver a flashearlo con el último firmware) establezca la configuración de DNS ascendente en su enrutador en 8.8.8.8 (DNS público de google) y asegúrese de poner una buena contraseña en su enrutador.

  1. Se aplican las advertencias habituales, el restablecimiento de fábrica de su enrutador probablemente acabará con su conexión a Internet, así que asegúrese de saber cómo volver a configurarlo, si necesita un nombre de usuario y una contraseña para conectarse a su ISP (la mayoría de las conexiones lo harán) sabes lo que es.
respondido por el Hybrid 10.09.2015 - 08:54
fuente
0

También sospecho que se trata de un problema de DNS, ya que la información sobre los anuncios emergentes de DNS Unlocker es la alerta de un problema de adware. Después de una investigación, descubrí que DNS Unlocker se informa como PUP, el adware y uno de los métodos de distribución es la agrupación.

La buena noticia es que podría eliminarse por completo y también puede restaurar su DNS. Puede encontrar más información sobre este caso de seguridad aquí . Estos chicos realmente me ayudan a resolver los problemas relacionados con la seguridad de mi PC. Espero encontrar la solución a este virus molesto.

    
respondido por el Vincent 18.09.2015 - 16:12
fuente

Lea otras preguntas en las etiquetas

Hashing de identificación de sesión - Cómo hacerlo más seguro y robusto Cuando se usa FDE, ¿hay algún sistema operativo / software que permita regresar de la hibernación sin requerir la clave de cifrado del disco?