Вредоносный редирект из поиска Google

470
darmual

Я столкнулся со злонамеренными перенаправлениями из результатов поиска Google на двух разных ноутбуках.

Просматривая результаты поиска Google в Chrome, я нажимаю на одну из ссылок на надежный веб-сайт https. Этот щелчок каким-то образом был захвачен и попал на вредоносный сайт (в лучшем случае явно мошенническое / фишинговое исследование). Если я закрою вредоносную страницу и снова нажму на ту же ссылку, я перенаправлюсь на соответствующую страницу. Это происходит случайно и очень редко (примерно два раза в месяц), поэтому очень трудно воспроизвести по желанию.

  • Ни у кого из них нет сомнительных аддонов или сомнительного программного обеспечения. Ничего отрывочного в списке установленных программ.
  • В Chrome установлены следующие надстройки: uBlock, u-Matrix, Достойные, httpseverywhere и несколько других (вероятно) нерелевантных надстроек.
  • Malwarebytes и Nod32 полное сканирование чистое. Ничего сомнительного при проверке с помощью processExplorer или автозапусков (при включенной общей передаче вирусов).
  • Оба ноутбука имеют разные интернет-каналы, на самом деле они находятся в разных городах. Они сосуществовали в одной сети в течение нескольких недель в прошлом.
  • Конфигурация DNS кажется неизменной (автоматической), когда проверяется с помощью ipconfig указывает на серверы, принадлежащие провайдеру
  • Сайты назначения не выглядели проблемой, это были авторитетные сайты, последний случай (единственный, о котором я помню сайт), от крупной аэрокосмической компании, без содержания рекламодателей, или сторонние сценарии, кроме аналитики Google. Целевой веб-сайт не выглядит так, как будто он даже загружен, я попал прямо в домен вредоносного ПО, без возможности вернуться назад или отследить историю исходной страницы.

Какое наиболее вероятное объяснение? Означает ли это, что оба компьютера скомпрометированы каким-либо вредоносным ПО?

Как можно проследить такую ​​проблему до ее причины?

Это новая общая вещь, о которой я не слышал?

2
Поведение звучит как вредоносное приложение. Если такое поведение сохраняется во всех браузерах, то это определенно сторонняя компания. Проверьте все установленные программы и удалите все, что выглядит схематично. Если оба компьютера скомпрометированы, составьте список приложений, установленных на обоих компьютерах, и перейдите оттуда. Bennett Yeo 5 лет назад 1
Также предлагаем вам попробовать ESET https://www.eset.com/us/home/free-trial/; он обнаружил несколько вредоносных программ, которые пропустил Malwarebytes. Оба ноутбука на одном интернет-канале? Ваш роутер может быть скомпрометирован. Попробуйте их на другом подключении или измените настройки DNS-сервера маршрутизатора на открытый сервер, как показано ниже. После того, как вы попробовали это, пожалуйста, нажмите [изменить] и обновите исходное сообщение тем, что вы пробовали, и результатами; комментарии для людей, помогающих, ваши обновления должны идти в вашем вопросе. K7AAY 5 лет назад 1

1 ответ на вопрос

1
kenorb

Я столкнулся со злонамеренными перенаправлениями из результатов поиска Google на двух разных ноутбуках.

Возможно, проблема не в ваших ноутбуках, но сам сайт заражен вредоносным ПО.

Дважды проверьте результаты поиска на предмет сообщения «Этот сайт может быть взломан», например, такого:

Google Search - "This site may be hacked" message

Некоторые вредоносные программы умны, и они перенаправляют вас на веб-сайт спама только тогда, когда вы заходите из поисковой системы (например, Google), но когда вы открываете страницу обычным образом (при переходе напрямую), перенаправление не произойдет. Таким образом, владелец сайта не будет замечать присутствие вредоносных программ при открытии своих собственных страниц.

Вот пример такого вредоносного ПО (см. icon64s.pngФайл). После загрузки на удаленный сервер, когда вы заходите из поисковой системы ( isCrawler()функции), он перенаправляет вас на какой-то вредоносный сайт.

Вы можете попробовать сканировать веб-сайт с помощью онлайн-антивируса (такого как Virus Total или служба VirusDesk ), однако, если у вредоносной программы есть условия присутствия только при входе пользователя из поисковых систем, ни одна из служб не обнаружит его. В конце концов, это просто перенаправление.

Просто открыл сайт из результатов поиска Google с моего мобильного телефона (через LTE для другого IP) был перенаправлен на мошеннический сайт! Видимо отслеживает IP и перенаправляет только в первый раз (или после очень долгого времени). Есть ли способ полностью убедиться, что это так? darmual 5 лет назад 0
Вы можете попробовать отсканировать его с помощью [Всего вирусов] (https://www.virustotal.com/#/home/url), однако, если вредоносное ПО имеет условие, что на бэкэнде должно быть активировано только при поступлении из поисковых систем, я сомневаюсь, что вы можете обнаружить это. В конце концов, это просто перенаправление. kenorb 5 лет назад 0

Похожие вопросы