Recientemente me he quedado atascado con un malware (adware / virus?) que no puedo eliminar. Aquí está la condición:
-
Estoy usando Linux ( Archlinux ), está actualizado y no instalo ningún paquete fuera de los repositorios estándar MÁS algunos paquetes AUR bastante conocidos. Comprobaré si este es el caso.
-
Aparece una ventana emergente ( anuncios por DNS Unlocker ) en Chromium , FF (repo estándar) y Google-Chrome-Stable (instalado desde AUR).
-
Tengo un cuadro de Windows y Android que se sincronizan con una sola cuenta
-
Estoy usando Tor (la mayoría de las veces) con puentes que se han proporcionado a través de correo electrónico oficial
-
La lista de mis instalaciones y complementos recientes se encuentra debajo de los enlaces:
sudo cat /var/log/pacman.log | grep -i installed
: enlacesudo pacman -Qm
: enlaceComplementos del navegador:
Administrador de marcadores (ID: gmlllbghnfkpflemihljekbapjopfjik),
Evernote Clipper (ID: pioclpoplcdbaefihamjohnefbikjilc),
Botón de Google Scholar (ID: ldipcbpaocekfooobnbcddclnhejkcpn),
LastPass (ID: hdokiejnpimakedhajhdlcegeplioahd),
Proxy SwitchyOmega (ID: padekgcemlokbadohgkifijomclgjgif),
Guardar en Pocket (ID: niloccemoadcdkdjlinkgdfekeahmflj),
ScriptSafe (ID: oiigbmnaadbkfbmpbfijlflahbdbdgdf),
Zotero Connector (ID: ekhagklcjbdpajgpjgmbionohlpdbjgc)
-
$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
:: 1 localhost.localdomain localhostHe comprobado la configuración de red y mi ip está configurada en DHCP.
-
se ha reportado algún caso similar recientemente, pero hay una clara diferencia entre lo que veo.
enlace -
los bloques emergentes si deshabilito esta secuencia de comandos en Script safe, scriptsafe muestra el javascript como:
m51.dnsqa.me (1)
cdn.scarabresearch.com (1)
Estoy seguro de la primera, pero la segunda podría ser segura. -
No estoy seguro, pero parece que en modo seguro (incógnito) el mensaje emergente no se muestra. En cuanto a la extensión, he intentado el navegador recién instalado y se vuelve a infectar.
-
el secuestro de URL se ha provocado en las búsquedas de Google (haciendo clic en la nueva pestaña de enlaces). y las ventanas emergentes se ven en Amazon y en la mayoría de los sitios de compras electrónicas. También lo he visto en TED.org lo que me impide descargar el video.
Después de algún día luchando con el problema no pude encontrar la ruta.
He desinstalado ( pacman -Rs chromium
) y elimino las carpetas de los navegadores manualmente ( rm -rf .chromium, .config/chromium, /local/share/chromium
). Con y sin habilitar la sincronización (incluso restablecer datos de sincronización en el servidor) veo las ventanas emergentes después de un tiempo. Esto sucede también en FF y Google-Chrome. Puede que se excluya la ópera. Todavía no la he probado.
Hay dos opciones que sospecho:
- DNS, he comprobado
resolve.conf
y/etc/hosts
yNetwork Settings
pero no he visto ninguna configuración que no sea localhost o DHCP y soy un tipo de novato y no tengo conocimiento de ninguna otra vulnerabilidad con respecto al DNS. - Tengo un malware instalado localmente que no puedo encontrar.
- los puentes oficiales de Tor con no creo que sean los casos (los he cambiado pero no cambié el resultado. A veces lo uso con puentes de scramblesuit, todos de eamil oficial).
Actualización:
-
No uso el paquete del navegador tor (estoy usando tor como servicio y configurando proxies)
-
Otros dispositivos están conectados al enrutador y no están afectados por el software malicioso