Некоторые вредоносные программы, вероятно, выдавали себя за Fiddler, как указывал первоначальный разработчик Fiddler Эрик Лоуренс :
Различные вредоносные программы проверяют, используется ли Fiddler, и если это так, они прекращают свою вредоносную деятельность, чтобы попытаться скрыть свои действия.
( источник )
Fiddler - это инструмент веб-отладки. У него нет вредоносного поведения, и он никогда не будет установлен, если вы лично не установите его с помощью установщика, загруженного из Telerik. Описанный здесь сценарий представляет собой вредоносное ПО, которое пытается избежать обнаружения, делая себя похожим на Fiddler.
( источник )
Поведение
Наиболее явным признаком вредоносного ПО является то, что Google Chrome не загружает веб-сайты HTTPS, как предполагалось, если вы не используете Fiddler для захвата трафика. Fiddler не предназначен для вмешательства в ваш обычный просмотр веб-страниц, когда он не используется.
Чтобы вредоносная программа скрылась, ей необходимо перехватить прокси-сервер Fiddler и передать HTTPS-трафик с помощью закрытого ключа сертификата Fiddler. Это тривиально изменить настройки прокси - сервера, и можно получить копию секретного ключа при инсталляции Скрипач .
Корневой сертификат
Fiddler установил корневой сертификат на ваш компьютер, который позволяет ему вставлять себя как посредник (MitM) для мониторинга содержимого данных, отправляемых по HTTPS:
В отличие от этого, вот как https://www.google.com/ обычно доверяют:
Ваш компьютер доверяет DO_NOT_TRUST_FiddlerRoot
сертификату, потому что он был установлен в хранилище сертификатов вашей операционной системы.
Прокси для перехвата HTTPS
Вы указали, что HTTPS работает правильно в Mozilla Firefox, который можно настроить на использование собственных независимых правил прокси, а не правил прокси операционной системы. Google Chrome использует прокси операционной системы без простой опции, чтобы сделать иначе.
Проходя через прокси на уровне операционной системы Fiddler, Fiddler теперь может быть MitM для захвата незашифрованных HTTPS-данных, пока он обслуживает сайт. Fiddler выбирает какую-то веб-страницу, а затем подписывает ее как «www.google.com», используя сертификат, которому доверяли ранее DO_NOT_TRUST_FiddlerRoot
.
При таких обстоятельствах вредоносное ПО может захватить как прокси, так и сертификат, чтобы сообщить вам неправильный сайт, но при этом показать вам . Я вижу, что это ведет к сложным фишинговым атакам.
Проблемы безопасности
Связано с обменом стеками безопасности: какие угрозы безопасности представляют поставщики программного обеспечения, развертывающие SSL Перехват прокси на рабочих столах пользователей
Как однажды написал Эрик Лоуренс ,
Возможности перехвата HTTPS в Fiddler (справедливо) вызывают удивление у пользователей, которые заботятся о безопасности.
Вот почему Fiddler предупреждает о последствиях для безопасности перехвата HTTPS-трафика:
Из-за ошибки пользователя или установки вредоносного ПО Fiddler был связан с различными проблемами:
- Fiddler показывает туннелирование на неизвестные IP-адреса
- обнаружил кучу личных сертификатов DO_NOT_TRUST_FiddlerRoot, установленных в моей системе
- Я не знаю, как, но я получил Fiddler на моем компьютере (я не одобрил какую-либо установку)
- Оповещение о сертификате Thunderbird продолжает появляться
- Настройки прокси на ПК переопределяются
Хотя сама Fiddler не является вредоносной программой, ее неправильное использование и недоразумения привели к тому, что в прошлом плохая репутация и вирусы притворялись Fiddler .
Удаление
Я не знаю, был ли ваш компьютер скомпрометирован каким-либо угонщиком Fiddler, но вы указали, что у вас нет времени, чтобы стереть компьютер и переустановить его, так что, надеюсь, следующие шаги помогут избавиться от Fiddler и восстановить правильное безопасное веб-поведение. (Я бы порекомендовал переустановить и изменить ваши пароли после этого, особенно если вы серьезно относитесь к безопасности. Вы писали, что Spybot - Search & Destroy обнаружил какое-то вредоносное ПО.)
Предисловие: отменить настройку Fiddler
Оригинальный плакат обнаружил эти дополнительные шаги, чтобы решить его проблему с Fiddler:
В конечном итоге, что это было исправлено: Настройки -> Показать дополнительные настройки -> В сети -> Изменить настройки прокси -> Дополнительно -> Сбросить
Также в настройках Fiddler я отключил параметры, позволяющие ему дешифровать HTTPS-трафик перед удалением и повторной очисткой сертификатов.
Удалить корневой сертификат (ы) Fiddler
- Нажмите Win+r
- Открыто:
certmgr.msc
- Просмотрите все папки и удалите
DO_NOT_TRUST_FiddlerRoot
сертификат.
Удалить Fiddler
- Перейдите в Панель управления »Программы» Программы и компоненты.
- Удалить Fiddler. Один источник сообщает, что Fiddler может называться «FiddlerRoot» или «BrowserSafeguard».
Очистить настройки прокси
Предполагая, что вы обычно не используете другой прокси…
- Зайдите в Панель управления »Свойства обозревателя.
- В свойствах Интернета перейдите на вкладку «Подключения».
- В разделе «Настройки локальной сети» нажмите «Настройки локальной сети».
- Очистите и снимите флажки с настройками прокси-сервера следующим образом:
Удалить вредоносные программы
Как предлагалось ранее для Super User, вы должны попытаться найти и удалить исходное вредоносное ПО, отображающее измененные веб-страницы HTTPS.
Подробный совет:
как удалить со своего компьютера вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты?