Fiddlerの元の開発者であるEric Lawrenceが指摘したように、いくつかのマルウェアはおそらくFiddlerになりすましていました。
さまざまなマルウェアがFiddlerが使用されているかどうかをチェックし、使用されている場合は、アクションを隠そうとするために悪意のある活動を停止します。
(ソース)
FiddlerはWebデバッグツールです。悪意のある動作は一切なく、Telerikからダウンロードしたインストーラーを使用して個人的にインストールしない限り、インストールされることはありません。ここで説明するシナリオは、Fiddlerのように見えるようにすることで検出を回避しようとするマルウェアです。
(ソース)
動作
マルウェアの最も明確な兆候は、トラフィックをキャプチャするためにFiddlerを使用していない限り、Google ChromeはHTTPS Webサイトを意図したとおりにロードしないことです。Fiddlerは、使用されていないときに通常のWebブラウジングを妨げるようには設計されていません。
マルウェアが自身を隠すには、Fiddlerプロキシをハイジャックし、Fiddler証明書の秘密キーでHTTPSトラフィックに再署名する必要があります。プロキシ設定を変更するのは簡単で、Fiddlerインストールの秘密鍵のコピーを取得することは可能です。
ルート証明書
Fiddlerにコンピューターにルート証明書をインストールしてもらいました。これにより、自身を中間者(MitM)として挿入して、HTTPS経由で送信されるデータコンテンツを監視できます。
対照的に、https://www.google.com/が通常どのように信頼されるかは次のとおりです。
お使いのコンピューターは、DO_NOT_TRUST_FiddlerRoot
オペレーティングシステムの証明書信頼ストアにインストールされているため、証明書を信頼します。
HTTPSをインターセプトするプロキシ
Mozilla FirefoxでHTTPSが適切に動作することを示しました。MozillaFirefoxは、オペレーティングシステムのプロキシルールではなく、独自の独立したプロキシルールを使用するように構成できます。Google Chromeは、オペレーティングシステムプロキシを使用します。それ以外の場合、簡単なオプションはありません。
Fiddlerのオペレーティングシステムレベルのプロキシを通過すると、Fiddlerは、サイトを提供しながら暗号化されていないHTTPSデータをキャプチャするMitMになります。FiddlerはいくつかのWebページを取得し、以前に信頼された証明書を使用して「www.google.com」として署名しDO_NOT_TRUST_FiddlerRoot
ます。
このような状況では、マルウェアはプロキシと証明書の両方を引き継いで、間違ったサイトにフィードを送りながら、。これが手の込んだフィッシング攻撃につながることがわかります。
セキュリティ上の懸念
Security Stack Exchangeに関連:ユーザーデスクトップにSSLインターセプトプロキシを展開しているソフトウェアベンダーがもたらすセキュリティリスク
エリック・ローレンスがかつて書きました、
FiddlerのHTTPSインターセプト機能は(正しく)セキュリティに敏感なユーザーの間で眉をひそめます。
そのため、FiddlerはHTTPSトラフィックを傍受することのセキュリティへの影響について警告しています。
ユーザーエラーまたはマルウェアのインストールにより、Fiddlerはさまざまな問題に関連付けられています。
Fiddler自体は有害なプログラムではありませんが、その誤用と誤解は過去の悪い評判とFiddlerのふりをするウイルスにつながりました。
除去
コンピューターがFiddlerハイジャッカーによって侵害されているかどうかはわかりませんが、コンピューターを消去して再インストールする時間がないことを示したので、次の手順でFiddlerを削除し、適切な安全なWeb動作を復元できることを願っています。(特にセキュリティに真剣に取り組んでいる場合は、後でパスワードを再インストールして変更することをお勧めします。Spybot– Search&Destroyはマルウェアを発見したと書きました。)
はじめに:フィドラーの構成解除
元のポスターは、Fiddlerの問題を解決するために、次の追加手順を発見しました。
最終的に修正されたのは、設定->詳細設定を表示->ネットワーク下->プロキシ設定の変更->詳細->リセット
そして
また、Fiddlerの設定で、証明書をアンインストールして再クリアする前にHTTPSトラフィックを復号化できるオプションを無効にしました。
Fiddlerのルート証明書を削除する
- Win+を押すr
- 開いた:
certmgr.msc
- すべてのフォルダーを調べて、
DO_NOT_TRUST_FiddlerRoot
証明書を削除します。
Fiddlerをアンインストールします
- [コントロールパネル]»[プログラム]»[プログラムと機能]に移動します。
- Fiddlerをアンインストールします。 ある情報源によると、Fiddlerは「FiddlerRoot」または「BrowserSafeguard」と呼ばれる場合があります。
プロキシ設定をクリア
通常、別のプロキシを使用しないと仮定して…
- [コントロールパネル]»[インターネットオプション]に移動します。
- [インターネットのプロパティ]で、[接続]タブに移動します。
- 「ローカルエリアネットワーク(LAN)設定」で、「LAN設定」をクリックします。
- 次のようにプロキシ設定をクリアしてチェックを外します。
マルウェアを削除する
スーパーユーザーに以前に提案し、あなたはHTTPS Webページを変更し表示された元のマルウェアを見つけて削除しようとすべきです。
詳細なアドバイス:
悪意のあるスパイウェア、マルウェア、アドウェア、ウイルス、トロイの木馬、またはルートキットをPCから削除するにはどうすればよいですか?