Die Google-Suche wird nur missbraucht, wenn sie nicht beachtet wird. Das Anhängen eines Debuggers gibt normale Ergebnisse zurück

1219
Derek Ziemba

Ich kann das nicht verstehen. Mir fiel auf, dass meine Suchergebnisse in letzter Zeit etwas "anders" waren.

  • Ich bin nicht angemeldet, wenn ich eine Google-Suche durchführe. Wenn ich jedoch auf "Bilder" oder "Videos" klicke, wird das als angemeldet angezeigt.
  • Es gibt keine Wikipedia-Informationen in der Seitenleiste der Suchseite.
  • Wenn ich Ghostery und uBlock deaktiviere, handelt es sich bei vielen Ergebnissen um Anzeigen.

Ich entschied mich, Entwickler-Tools zu überprüfen, und bemerkte, dass es einen SyntaxError auf der Seite gab. Ich klickte darauf und es führt tatsächlich zu einer Javascript-Funktion, die die Google-Webadresse ersetzt.

Das Problem scheint nur in Chrome aufzutreten. Hier ist Firefox nebeneinander: http://i.imgur.com/7J1G9mR.png

Ich habe versucht, den Fiddler Web Debugger an den Datenverkehr anzuschließen, damit ich sehen konnte, wohin ich weitergeleitet werde. Sobald ich jedoch einen Web-Debugger anhebe, ist alles verschwunden und die eigentliche Suchseite wird angezeigt ... Die Seitenquelle, in der Fiddler erfasst wird, ist völlig anders.

Unten sehen Sie ein Bildschirm-Capture-Gifv. Es beginnt mit der entführten Seite und ich umkreife meinen Cursor um einige skizzenhafte zusätzliche Javascript-Quelldateien. Dann sage ich Fiddler, dass er den Verkehr erfassen und meine Suchergebnisse aktualisieren soll. Die Seite, die ich bediene, ist völlig anders. Schließlich deaktiviere ich die Verkehrserfassung erneut und aktualisiere die Seite, um die gekaperte Seite anzuzeigen, und bringe Sie zu der Funktion mit dem Syntaxfehler, der die Webadresse ersetzen soll.

http://i.imgur.com/gbWkkLp.gifv

Ich lief Malwarebytes und bekam keine Ergebnisse. Spybot hatte ein paar Treffer, aber das Entfernen konnte nicht behoben werden. Ich habe Chrome auch komplett mit dem von Google bereitgestellten Tool zurückgesetzt. Wenn ich ein anderes Web-Profil verwende, beispielsweise das, mit dem ich meine Rechnungen mache, erhalte ich keine Suchergebnisse. Wenn ich Fiddler aktiviere, bekomme ich plötzlich Ergebnisse. enter image description here

12
Google verwendet HTTPS, um Ihnen Ergebnisse zu liefern. Überprüfen Sie das Websitezertifikat und [stellen Sie sicher, dass es von Google Internet Authority G2 signiert ist] (http://i.stack.imgur.com/nRU9m.png). Wenn nicht, hat jemand ein neues Stammzertifikat zu Ihrem Computer hinzugefügt und entführt Ihren Datenverkehr. Deltik vor 8 Jahren 2
Sie könnten hier auf etwas stehen. Es wurde von "DO_NOT_TRUST_FiddlerRoot" signiert. Es kann daher kein Zufall sein, dass es funktioniert, wenn der Fiddler Datenverkehr erfasst. http://i.imgur.com/b61IkYc.png Ich habe alle Fiddler-Zertifikate mit certmgr.cfg entfernt. Wurde der Fiedler gezielt? Seit dem Entfernen von FiddlerRoot kann ich nicht auf google.com zugreifen Derek Ziemba vor 8 Jahren 0
Es sieht so aus, als ob Fiddler in der Vergangenheit mit HTTPS-Adware in Verbindung gebracht wurde [hier bei Super User] (http://superuser.com/a/896078/83694). Vielleicht möchten Sie Fiddler loswerden. Ändern Sie wahrscheinlich auch Ihre Passwörter, wenn Sie sich auf einem sicheren Computer befinden. Deltik vor 8 Jahren 1
Nach einem Neustart kann ich wieder auf Google zugreifen und das Zertifikat wird von "Google Internet Authority G2" signiert, jedoch nur, wenn Fiddler auf Capture Traffic eingestellt ist. Wenn Fiddler nicht erfasst oder deinstalliert wird, verwendet Google das ungültige Zertifikat erneut. Ich habe keine Zeit alles neu zu installieren ... Derek Ziemba vor 8 Jahren 0
Verschiedene Malware-Programme prüfen, ob Fiddler verwendet wird. Wenn dies der Fall ist, beenden sie ihre böswilligen Aktivitäten, um zu versuchen, ihre Aktionen zu verbergen. EricLaw vor 8 Jahren 0

1 Antwort auf die Frage

8
Deltik

Some malware was probably impersonating Fiddler, as the original developer of Fiddler, Eric Lawrence, pointed out:

Various pieces of malware check whether Fiddler is in use, and if so, they stop doing their malicious activities in order to attempt to hide their actions.

(source)

Fiddler is a web debugging tool. It has no malicious behavior whatsoever, and it is never installed unless you personally install it using the installer downloaded from Telerik. The scenario described here is a piece of malware which is attempting to avoid detection by making itself look like Fiddler.

(source)


Behavior

The clearest sign of malware is that Google Chrome doesn't load HTTPS websites as intended unless you are using Fiddler to capture traffic. Fiddler is not designed to interfere with your normal web browsing when it isn't in use.

In order for the malware to hide itself, it needs to hijack the Fiddler proxy and resign HTTPS traffic with the Fiddler certificate's private key. It is trivial to change the proxy settings, and it is possible to obtain a copy of your Fiddler installation's private key.

Root Certificate

You had Fiddler install a root certificate on your computer, which allows it to insert itself as a man-in-the-middle (MitM) to monitor the data contents being sent over HTTPS:

Screenshot from https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

In contrast, here's how https://www.google.com/ is normally trusted:

Screenshot of proper Google HTTPS security chain

Your computer trusts the DO_NOT_TRUST_FiddlerRoot certificate because it was installed to your operating system's certificate trust store.

Proxy to Intercept HTTPS

You indicated that HTTPS behaves properly on Mozilla Firefox, which can be configured to use its own independent proxy rules rather than the operating system's proxy rules. Google Chrome uses the operating system proxy without an easy option to do otherwise.

Going through Fiddler's operating system-level proxy, Fiddler can now be the MitM to capture unencrypted HTTPS data while still serving the site. Fiddler fetches some web page, then signs it as "www.google.com" using the certificate that was trusted earlier, DO_NOT_TRUST_FiddlerRoot.

Under these circumstances, malware can take over both the proxy and the certificate to feed you the wrong site while still showing you the green lock icon. I can see this leading to elaborate phishing attacks.

Security Concerns

Related on Security Stack Exchange: What security risks are posed by software vendors deploying SSL Intercepting proxies on user desktops

As Eric Lawrence once wrote,

Fiddler’s HTTPS interception capabilities (rightly) raise eyebrows among security-conscious users.

That's why Fiddler warns about the security implications of intercepting HTTPS traffic:

Screenshot of a Fiddler built-in warning

By user error or malware installation, Fiddler has been associated with various problems:

Although Fiddler itself is not a harmful program, its misuse and misunderstandings led to past bad reputation and viruses pretending to be Fiddler.


Removal

I don't know if your computer has been compromised by some Fiddler hijacker, but you indicated that you don't have time to wipe your computer and reinstall, so hopefully the following steps can get rid of Fiddler and restore proper secure web behavior. (I would still recommend reinstalling and changing your passwords afterwards, especially if you're serious about security. You wrote that Spybot – Search & Destroy found some malware.)

Foreword: De-configure Fiddler

The original poster discovered these additional steps to resolve his issue with Fiddler:

Ultimately what fixed it was: Settings -> Show advanced settings -> Under network -> Change Proxy Settings -> Advanced -> Reset

and

Also in Fiddler Settings I disabled the options allowing it to decrypt HTTPS traffic before uninstalling and re-clearing certificates.

Remove Fiddler's Root Certificate(s)

  1. Press Win+r
  2. Open: certmgr.msc
  3. Look through all of the folders and remove the DO_NOT_TRUST_FiddlerRoot certificate.

Uninstall Fiddler

  1. Go to Control Panel » Programs » Programs and Features.
  2. Uninstall Fiddler. One source says that Fiddler may be called "FiddlerRoot" or "BrowserSafeguard".

Clear Proxy Settings

Assuming that you normally do not use a different proxy…

  1. Go to Control Panel » Internet Options.
  2. In Internet Properties, go to the "Connections" tab.
  3. Under "Local Area Network (LAN) settings", click on "LAN settings".
  4. Clear and uncheck your proxy settings like so: Screenshot of Local Area Network (LAN) Settings

Remove Malware

As suggested previously on Super User, you should try to find and remove the original malware that displayed modified HTTPS webpages.

Detailed advice:
How can I remove malicious spyware, malware, adware, viruses, trojans or rootkits from my PC?

Danke für das ausführliche Schreiben. Ich kann mich nicht dazu bringen, zu glauben, dass Fiddler schändlich ist, weil meine Kollegen und ich ihn fast jeden Tag jahrelang benutzen. Ich kann glauben, dass etwas anderes das FiddlerRoot-Zertifikat in Anspruch genommen hat. Ich habe immer Fiddler installiert und vor kurzem kein Upgrade durchgeführt. Dieses Problem ist in den letzten Tagen aufgetreten. Wenn Fiddler schändlich wäre, glaube ich nicht, dass es "DO_NOT_TRUST" im Zertifikatsnamen hätte. Letztendlich was behoben wurde: Einstellungen -> Erweiterte Einstellungen anzeigen -> Unter Netzwerk -> Proxy-Einstellungen ändern -> Erweitert -> Zurücksetzen Derek Ziemba vor 8 Jahren 0
Certlm.msc scheint auch nicht in Win7 verfügbar zu sein. Ich habe jedoch alle Zertifikateinträge für Fiddler mit certmgr.msc entfernt. Auch in den Fiddler-Einstellungen habe ich die Optionen deaktiviert, um den HTTPS-Verkehr zu entschlüsseln, bevor Zertifikate deinstalliert und gelöscht werden. Wenn Sie Ihren Beitrag so bearbeiten, dass er diese etwas anderen Schritte enthält, werde ich dies als Antwort markieren, da er das Problem letztendlich behoben hat. Derek Ziemba vor 8 Jahren 0
@DerekZiemba: Ich ging nur auf verschiedene Beschwerden über Fiddler ein, ich wusste nicht, was es war, aber jetzt, wo ich nachgesehen habe, sehe ich, dass es ein legitimes Werkzeug ist. Ich habe meine Antwort geändert, um sie weniger anklagend zu machen und auch die korrigierten Fakten einzufügen, die Sie gefunden haben. Deltik vor 8 Jahren 0
Du bist * SEHR * verwirrt wegen Fiddler. Fiddler ist ein Web-Debugging-Tool. Es hat keinerlei schädliches Verhalten und wird niemals installiert, es sei denn, Sie installieren es persönlich mit dem von Telerik heruntergeladenen Installationsprogramm. Das hier beschriebene Szenario ist eine Malware, die versucht, die Erkennung zu vermeiden, indem sie sich wie Fiddler aussehen lässt. EricLaw vor 8 Jahren 2
Hallo @EricLaw. Ich fühle mich geehrt, Ihren offiziellen / maßgeblichen Kommentar zu haben. Es ist meine Schuld, dass ich uninformiert bin und Fiddler ein übermäßiges Gewicht gebe. Ich habe meine Antwort so bearbeitet, dass sie Ihre Eingaben enthält. Es tut mir leid für die Unannehmlichkeiten. (Immerhin bist du nahe genug, um zu mir zu gehen und mir ins Gesicht zu schlagen!) Deltik vor 8 Jahren 0