Google検索は、観察されていない場合にのみハイジャックされました。デバッガーをアタッチすると通常の結果が返されます

これを理解することはできません。最近、私の検索結果が少し「違う」ことに気づきました。

• グーグル検索を行ったときにサインインしていませんが、「画像」または「ビデオ」をクリックすると、サインインしたと表示されます。
• 検索ページのサイドバーにウィキペディアの情報はありません。
• GhosteryとuBlockを無効にすると、結果の多くは広告になります。

開発者ツールを確認することにし、ページにSyntaxErrorがあることに気づき、それをクリックすると、実際にGoogle Webアドレスを置き換えるjavascript関数が表示されます。

この問題は、Chromeでのみ発生するようです。こちらは、Firefoxと隣り合わせです。

Fiddler Web Debuggerをアタッチして、トラフィックをキャプチャして、リダイレクト先を確認できるようにしました。しかし、Webデバッガーをアタッチするとすぐにすべてがなくなり、実際の検索ページが提供されます。... Fiddlerがキャプチャしているときのページソースは完全に異なります。

以下は、それを示すgifvのスクリーンキャプチャです。それはハイジャックされたページから始まり、私はいくつかの大ざっぱな追加のJavaScriptソースファイルの周りにカーソルを回します。次に、トラフィックをキャプチャして検索結果を更新するようにFiddlerに指示します。提供されるページはまったく異なります。最後に、トラフィックキャプチャを再度無効にし、ページを更新してハイジャックされたページを表示し、Webアドレスを置換することになっている構文エラーのある機能に移動します。

http://i.imgur.com/gbWkkLp.gifv

Malwarebytesを実行しましたが、結果は得られませんでした。Spybotはいくつかのヒットを見つけましたが、それらを削除しても問題は解決しませんでした。また、Googleが提供するツールを使用してChromeを完全にリセットしました。請求書を作成するなど、別のWebプロファイルを使用すると、検索結果が表示されません。フィドラーを有効にすると、突然結果が得られます。

Fiddlerの元の開発者であるEric Lawrenceが指摘したように、いくつかのマルウェアはおそらくFiddlerになりすましていました。

さまざまなマルウェアがFiddlerが使用されているかどうかをチェックし、使用されている場合は、アクションを隠そうとするために悪意のある活動を停止します。

^{_{（ソース）}}

FiddlerはWebデバッグツールです。悪意のある動作は一切なく、Telerikからダウンロードしたインストーラーを使用して個人的にインストールしない限り、インストールされることはありません。ここで説明するシナリオは、Fiddlerのように見えるようにすることで検出を回避しようとするマルウェアです。

^{_{（ソース）}}

動作

マルウェアの最も明確な兆候は、トラフィックをキャプチャするためにFiddlerを使用していない限り、Google ChromeはHTTPS Webサイトを意図したとおりにロードしないことです。Fiddlerは、使用されていないときに通常のWebブラウジングを妨げるようには設計されていません。

マルウェアが自身を隠すには、Fiddlerプロキシをハイジャックし、Fiddler証明書の秘密キーでHTTPSトラフィックに再署名する必要があります。プロキシ設定を変更するのは簡単で、Fiddlerインストールの秘密鍵のコピーを取得することは可能です。

ルート証明書

Fiddlerにコンピューターにルート証明書をインストールしてもらいました。これにより、自身を中間者（MitM）として挿入して、HTTPS経由で送信されるデータコンテンツを監視できます。

対照的に、https：//www.google.com/が通常どのように信頼されるかは次のとおりです。

お使いのコンピューターは、DO_NOT_TRUST_FiddlerRootオペレーティングシステムの証明書信頼ストアにインストールされているため、証明書を信頼します。

HTTPSをインターセプトするプロキシ

Mozilla FirefoxでHTTPSが適切に動作することを示しました。MozillaFirefoxは、オペレーティングシステムのプロキシルールではなく、独自の独立したプロキシルールを使用するように構成できます。Google Chromeは、オペレーティングシステムプロキシを使用します。それ以外の場合、簡単なオプションはありません。

Fiddlerのオペレーティングシステムレベルのプロキシを通過すると、Fiddlerは、サイトを提供しながら暗号化されていないHTTPSデータをキャプチャするMitMになります。FiddlerはいくつかのWebページを取得し、以前に信頼された証明書を使用して「www.google.com」として署名しDO_NOT_TRUST_FiddlerRootます。

このような状況では、マルウェアはプロキシと証明書の両方を引き継いで、間違ったサイトにフィードを送りながら、。これが手の込んだフィッシング攻撃につながることがわかります。

セキュリティ上の懸念

^{_{Security Stack Exchangeに関連：ユーザーデスクトップにSSLインターセプトプロキシを展開しているソフトウェアベンダーがもたらすセキュリティリスク}}

エリック・ローレンスがかつて書きました、

FiddlerのHTTPSインターセプト機能は（正しく）セキュリティに敏感なユーザーの間で眉をひそめます。

そのため、FiddlerはHTTPSトラフィックを傍受することのセキュリティへの影響について警告しています。

ユーザーエラーまたはマルウェアのインストールにより、Fiddlerはさまざまな問題に関連付けられています。

• 不明なIPへのトンネリングを示すフィドラー
• システムにインストールされたDO_NOT_TRUST_FiddlerRoot個人証明書の束を見つけました
• 方法はわかりませんが、コンピューターにFiddlerをインストールしました（インストールを承認しませんでした）
• Thunderbird証明書アラートがポップアップし続ける
• 上書きされるPCのプロキシ設定

Fiddler自体は有害なプログラムではありませんが、その誤用と誤解は過去の悪い評判とFiddlerのふりをするウイルスにつながりました。

除去

コンピューターがFiddlerハイジャッカーによって侵害されているかどうかはわかりませんが、コンピューターを消去して再インストールする時間がないことを示したので、次の手順でFiddlerを削除し、適切な安全なWeb動作を復元できることを願っています。（特にセキュリティに真剣に取り組んでいる場合は、後でパスワードを再インストールして変更することをお勧めします。Spybot– Search＆Destroyはマルウェアを発見したと書きました。）

はじめに：フィドラーの構成解除

元のポスターは、Fiddlerの問題を解決するために、次の追加手順を発見しました。

最終的に修正されたのは、設定->詳細設定を表示->ネットワーク下->プロキシ設定の変更->詳細->リセット

そして

また、Fiddlerの設定で、証明書をアンインストールして再クリアする前にHTTPSトラフィックを復号化できるオプションを無効にしました。

Fiddlerのルート証明書を削除する

1. Win+を押すr
2. 開いた： certmgr.msc
3. すべてのフォルダーを調べて、DO_NOT_TRUST_FiddlerRoot証明書を削除します。

Fiddlerをアンインストールします

1. [コントロールパネル]»[プログラム]»[プログラムと機能]に移動します。
2. Fiddlerをアンインストールします。 ある情報源によると、Fiddlerは「FiddlerRoot」または「BrowserSafeguard」と呼ばれる場合があります。

プロキシ設定をクリア

通常、別のプロキシを使用しないと仮定して…

1. [コントロールパネル]»[インターネットオプション]に移動します。
2. [インターネットのプロパティ]で、[接続]タブに移動します。
3. 「ローカルエリアネットワーク（LAN）設定」で、「LAN設定」をクリックします。
4. 次のようにプロキシ設定をクリアしてチェックを外します。

マルウェアを削除する

スーパーユーザーに以前に提案し、あなたはHTTPS Webページを変更し表示された元のマルウェアを見つけて削除しようとすべきです。

詳細なアドバイス：
悪意のあるスパイウェア、マルウェア、アドウェア、ウイルス、トロイの木馬、またはルートキットをPCから削除するにはどうすればよいですか？