web-dev-qa-db-fra.com

Détournement de navigateur ou autre chose?

Distro: Lubuntu

Navigateur: Mozilla SeaMonkey

J'ai téléchargé un fichier de zippyshare.com l'autre jour. J'ai un de ces "Bonjour Microsoft (sic) utilisateur! Vous avez gagné un iPad!" messages, et il a correctement identifié mon FAI. Cela m'a bloqué hors du navigateur au point que je ne pouvais pas fermer l'onglet, désactiver JavaScript ou même fermer le navigateur. J'ai dû tuer le navigateur via le gestionnaire de tâches. Auparavant, j'avais noté l'URL de la page avec le message et ajouté l'hôte à mon fichier hôtes.

Aujourd'hui, je suis encore allé sur zippyshare et j'ai reçu un message différent avec une URL différente. Je pense que c'était un message alarmiste "Vous avez été infecté" ou quelque chose de similaire. Encore une fois, cela m'a complètement empêché de faire quoi que ce soit. J'ai tué le navigateur et ajouté cet hôte à mon fichier hôtes.

J'ai rouvert le navigateur, sélectionné pour restaurer la session à l'exception des onglets liés à zippyshare. Puis, sans aucune action de ma part, j'ai trouvé parmi les onglets de mon navigateur une page ouverte à la page de connexion de mon routeur. Ce n'était pas quelque chose sur lequel j'avais cliqué.

Je me demande maintenant s'il y a des logiciels malveillants sur mon système - ou une sorte de système de piratage de navigateur en place - et comment s'en débarrasser.

Mesures que j'ai prises jusqu'à présent:

  • J'ai changé par serveur DNS à 8.8.8.8. Je pensais que c'était déjà ça, mais ce n'était apparemment pas le cas.

  • J'ai vérifié les extensions de navigateur inhabituelles. Je ne me souviens pas si Chatzilla était préinstallé dans SeaMonkey mais je l’ai retiré, car je n’utiliserais jamais un programme comme celui-là. Tout le reste avait l'air bien.

  • J'ai éteint le modem/routeur et déconnecté tous les câbles. Quand je rentrerai du travail, j'aurai une nouvelle adresse IP. Je prévois de me connecter à la page de mon routeur (avec le routeur toujours éteint) et de voir si certains paramètres ont été modifiés.

Existe-t-il des programmes anti-malware pour Linux comme Malwarebytes pour Windows?

Y a-t-il autre chose que je devrais faire?

Merci!

3
Gary7QW

C'est une question très difficile et vaste à répondre, mais je vais essayer.

ZippyShare

D'après ce que j'ai vu de ZippyShare, ils utilisent un modèle de revenus publicitaires pour générer des revenus. J'ai également noté que le site est très chargé avec des popups et des dialogues.

Verrouillé de votre navigateur

Le verrouillage de votre navigateur est probablement dû à une boîte de dialogue masquée ou masquée. Si une boîte de dialogue apparaît et que vous ne la voyez pas, vous constaterez que le navigateur semble verrouillé jusqu'à ce que vous la fermiez.

Ceci est une technique utilisée pour vous forcer à cliquer sur la boîte de dialogue, mais peut être mélangé avec d'autres fenêtres/onglets/fenêtres contextuelles et le rend pratiquement impossible à cliquer/fermer.

Le tuer avec le gestionnaire de tâches est la seule véritable option.

Vous avez été infecté

Encore une fois, juste une façon plus alarmiste d’essayer de prendre votre argent. Avec des instructions telles que "Nous avons détecté XXX quantités de logiciels malveillants sur votre système, cliquez ici pour les réparer" , etc.

Page de connexion du routeur

Il est peu probable que cela ait été causé par un logiciel malveillant. Il est facile de deviner l'adresse de la majorité des routeurs/modems des utilisateurs particuliers. Par exemple, ils se situent généralement dans la plage 192.168.X.X ou 10.1.X.X. SI un script malicieux essayait de l'ouvrir, il ne serait pas hors de question de le deviner.

Malware

Un logiciel malveillant sur Linux est peu probable, mais de plus en plus possible. Si cela vous inquiète vraiment, alors je recommanderais ClamAV , et Bleachbit , les deux sont disponibles dans le magasin d'applications Ubuntu ou via apt-get/apt/aptitude.

Sécurité du navigateur

En dehors de cela, je suggérerais de réinitialiser les paramètres par défaut de votre navigateur, de supprimer tous les addons/plugins inconnus et de réinitialiser votre page d'accueil. De plus, vous pouvez ajouter un Adblocker tel que Block Origin pour vous aider lorsque vous vous trouvez sur ZippyShare, ainsi qu'un plug-in de confidentialité tel que Privacy Badger ou Ghostery .

Commenter les options proposées:

(merci @ Zacharee1 et @Marton)

Blocage de fichiers d'hôtes

C'est un bon moyen d'arrêter les annonces avant qu'elles ne commencent, mais cela peut être un peu délicat. Vous pouvez obtenir une copie d'un fichier hôtes pouvant être utilisé pour bloquer les annonces de hpHosts , placé sous le parapluie MalwareBytes.

Basiclly, vous extrayez le fichier; copiez le contenu et ajoutez-le à votre/etc/hosts.

Rapport de sécurité

Voici une copie de rapport de navigation sécurisée de Google pour zippyshare.com:

  • Certaines pages de ce site Web dirigent les visiteurs vers des sites Web dangereux.
  • Certaines pages de ce site Web installent des logiciels malveillants sur les ordinateurs des visiteurs.
  • Certains téléchargements sur ce site sont nouveaux ou pas couramment téléchargés par les utilisateurs, et peuvent être dangereux. La navigation sécurisée avertit les utilisateurs sur ces téléchargements. Dans ces cas, les avertissements sont automatiquement levés si le contenu est vérifié comme sûr.
  • Des sites Web dangereux ont envoyé des visiteurs sur ce site Web, notamment: safelinkconverter.com, href.li et gdaily.org.
5
ThatGuy