¿El malware que agrega código a ga.js abre anuncios/sitios web aleatorios?

Un amigo mío acaba de pasarme su tableta diciendo que cada vez que abre una página web, el navegador redirige a varias páginas de anuncios (o "agrega" anuncios en la página).

Esto sucede tanto en Chrome como en el navegador estándar.

Usé la depuración USB para ver la solicitud del navegador y creo que encontré al culpable. Cuando el navegador carga http://www.google-analytics.com/ga.js , el código real es diferente. Vea esta captura de pantalla (la línea verde es donde debe terminar ga.js):

ingrese la descripción de la imagen aquí

(y el código añadido continúa...)

Inicialmente pensé que algún malware cambió el archivo de hosts y asignó una IP diferente al sitio web de google-analytics, pero este no es el caso ya que cuando visito el enlace anterior directamente veo el código JS correcto.

¿Cómo puedo rastrear qué aplicación está haciendo esto?

¿Hay alguna aplicación que gestione el tráfico de red como una VPN o un proxy? También intente acceder a las páginas web a través de https (si es posible)
A través de HTTPS, el problema parece desaparecer, pero me aseguraré y responderé.
Confirmo que a través de HTTPS el problema desaparece (probé con reddit.com que permite tanto HTTP como HTTPS, y a través de HTTP la página se redirige). Además, la tableta parece estar bastante limpia porque el propietario intentó limpiarla antes de llevármela: las únicas aplicaciones que instaló explícitamente son "Moon+ Reader" y "Mobile Security & Antivirus" (de ESET)
Entonces debe haber algo mal configurado. Tal vez un proxy que pueda interceptar el tráfico HTTP.
Después de esto, puedo ver que ningún proxy parece estar configurado: stackoverflow.com/a/21069032/747654 , también: la configuración del proxy parece ser específica de la red, y el propietario también tuvo estos problemas cuando se conectó a su propio WiFi...
OK, tal vez lo resolví. Me di cuenta de que cuando el navegador solicitaba ga.js, la respuesta del servidor visible desde DevTools era en realidad 304 Not Modified, así que pensé que tal vez cuando visitaba la página directamente obtendría el archivo correcto (pero no cuando solicitaba ga.js desde otra página). Así que borré el caché. Ahora el problema parece haber desaparecido definitivamente...
Ahora me pregunto: tal vez fue un problema relacionado con la red (la red del propietario obtiene el ga.js "incorrecto", que ya se almacenará en caché cuando se conecte a mi red). Pero había probado con su teléfono celular Android y el problema no se mostraba. Le pediré que mire de nuevo.
Tal vez alguna aplicación antes de la limpieza. El caché no se vacía cuando desinstalas una aplicación.
Creo que esto es causado por el malware DNSChanger . Es posible que deba restablecer su enrutador y borrar los datos y el caché de Google Chrome para solucionarlo. Eche un vistazo a este hilo en los foros de Google: productforums.google.com/forum/m/#!topic/chrome/qn1wgcqaFWI
Para probar si está infectado, intente ejecutar nslookup google-analytics.comdesde la computadora infectada (o dispositivo Android) y compare los resultados para el mismo comando ejecutado desde otra computadora que sabe que está limpia. Compruebe si ambas direcciones IP son iguales.
Gracias @Vinayak, le pasaré esta información al propietario (por cierto: sus comentarios podrían ser aptos para ser movidos a una respuesta real)

Respuestas (3)

Ayer me encontré con la situación anterior. Después de mucho investigar, llegué a este hilo y me llevó a la solución.

Aparentemente, una de las computadoras en la red que visité estuvo expuesta a un malware que modificó la configuración del enrutador. El enrutador tenía detalles de inicio de sesión D-Link 2760U/Epredeterminados Admin / Admin.

Usando las credenciales anteriores, el malware anterior ha cambiado las "tablas de enrutamiento estático" agregando sus servidores para ser un hombre en el medio. Todo el tráfico no SSL había pasado a través de su servicio que inyectó js en la página. Encontré una página de GitHub que muestra las modificaciones y adiciones.

Me tomó un tiempo entender que todo el tráfico proviene de un ataque de cambio de DNS: verifiqué y verifiqué que la computadora esté totalmente limpia y que no se esté ejecutando ningún proceso / servicio desconocido antes y durante la prueba.

Una de las cosas que han hecho es redirigir todo el tráfico de google-analytics.com a su servidor, manteniéndolos ocultos.

Entonces, cómo resolverlo:

Manera rápida:

Restablezca su enrutador a la configuración de fábrica; tenga en cuenta que borrará todas las configuraciones existentes.

Largo camino:

  1. Inicie sesión en la interfaz de usuario web de los enrutadores
  2. Eliminar todas las entradas desconocidas de las tablas de enrutamiento estático
  3. Cambie su contraseña de inicio de sesión para el enrutador
  4. Reinicie su enrutador.

Espero que esta publicación ayude a alguien.

Saludos,
Liron

Esto podría ser causado por el malware DNSChanger , pero ahora está muerto, por lo que es posible que sea causado por algún otro tipo de malware que interfiere con la configuración de DNS de una computadora (o enrutador) . O tal vez el enrutador estuvo expuesto a la web (ver administración remota ) y alguien pudo secuestrarlo y cambiar su configuración de DNS .

Si el mismo problema afecta a todos los dispositivos (incluidas las PC) conectados a la red Wi-Fi, supongo que se debe reiniciar el enrutador además de realizar un análisis de malware en todas las PC conectadas a la red. Puede usar Malwarebytes Anti-Malware para eso.

En el dispositivo Android, borre los datos y la memoria caché de Google Chrome después de que se haya reiniciado el enrutador y se haya completado el análisis de malware. Este hilo en los foros de productos de Google podría ser relevante para el problema.

Para probar si esto es realmente un problema de secuestro de DNS, intente ejecutar nslookup google-analytics.comdesde la computadora infectada (o dispositivo Android si BusyBox está instalado) y compare los resultados para el mismo comando ejecutado desde otra computadora que sabe que está limpia.

Compruebe si ambos devuelven las mismas direcciones IP o, en el caso de Google, direcciones IP controladas por Google. Puede verificar si una IP dada es de Google o no haciendo una WHOISbúsqueda aquí: http://whois.domaintools.com/XXXX (siendo xxxx la dirección IP)

Al final, descubrí que el enrutador era vulnerable a la vulnerabilidad rom-0 (para probar si su enrutador es vulnerable, use this ).

Por lo tanto, lo más probable es que el problema haya sido causado por alguien (o algo) que tenía acceso completo a la interfaz de administración del enrutador. Ahora actualicé el firmware (y la prueba ahora es negativa).

¿Dónde encontraste la comprobación de vulnerabilidades? ¿Cómo comprobaste su autenticidad? ¿Cómo sabes que no está pasando nada detrás de escena? No hay ningún tipo de información en el sitio web, excepto "presione el botón". Un poco sospechoso.
Ese verificador se menciona en el documento que cité en la respuesta (en el documento explican cómo verificar la vulnerabilidad, y es razonable que pueda hacerlo con solo presionar un botón, ya que todo lo que necesita es una dirección IP)
¿El malware que agrega código a ga.js abre anuncios/sitios web aleatorios?
RespuestasAquíPolítica de privacidad1y, 0v