มัลแวร์บางตัวอาจแอบอ้างเป็นFiddlerในฐานะผู้พัฒนาเดิมของ Fiddler Eric Lawrenceชี้ให้เห็น:
มัลแวร์ชิ้นส่วนต่าง ๆ ตรวจสอบว่าใช้พู้ทำเล่นหรือไม่และหากเป็นเช่นนั้นพวกเขาจะหยุดทำกิจกรรมที่เป็นอันตรายเพื่อพยายามซ่อนการกระทำของตน
(ที่มา )
Fiddler เป็นเครื่องมือแก้ไขข้อบกพร่องบนเว็บ มันไม่มีพฤติกรรมที่เป็นอันตราย แต่อย่างใดและจะไม่ติดตั้งจนกว่าคุณจะติดตั้งเป็นการส่วนตัวโดยใช้ตัวติดตั้งที่ดาวน์โหลดจาก Telerik สถานการณ์ที่อธิบายไว้ในที่นี้คือชิ้นส่วนของมัลแวร์ที่พยายามหลีกเลี่ยงการตรวจจับโดยทำให้ตัวเองดูเหมือน Fiddler
(ที่มา )
พฤติกรรม
สัญญาณที่ชัดเจนที่สุดของมัลแวร์คือ Google Chrome ไม่ได้โหลดเว็บไซต์ HTTPS ตามที่ตั้งใจเว้นแต่คุณจะใช้ Fiddler เพื่อจับปริมาณการเข้าชม พู้ทำเล่นไม่ได้ออกแบบมาเพื่อรบกวนการท่องเว็บปกติของคุณเมื่อไม่ได้ใช้งาน
เพื่อให้มัลแวร์ซ่อนตัวเองนั้นจำเป็นต้องขโมยพร็อกซี Fiddler และออกจากการรับส่งข้อมูล HTTPS ด้วยรหัสส่วนตัวของใบรับรอง Fiddler มันไม่ได้เป็นเรื่องที่จะเปลี่ยนการตั้งค่าพร็อกซีและมันก็เป็นไปได้ที่จะได้รับสำเนาของคีย์ส่วนตัวติดตั้งไวโอลินของคุณ
ใบรับรองหลัก
คุณมี Fiddler ติดตั้งใบรับรองหลักบนคอมพิวเตอร์ของคุณซึ่งอนุญาตให้แทรกตัวเองเป็นman-in-the-middle (MitM) เพื่อตรวจสอบเนื้อหาข้อมูลที่ส่งผ่าน HTTPS:
ในทางตรงกันข้ามนี่คือวิธีที่https://www.google.com/เชื่อถือได้ตามปกติ:
คอมพิวเตอร์ของคุณเชื่อถือDO_NOT_TRUST_FiddlerRoot
ใบรับรองเนื่องจากมีการติดตั้งไปยังที่เก็บใบรับรองที่เชื่อถือได้ของระบบปฏิบัติการของคุณ
พร็อกซีเพื่อดักจับ HTTPS
คุณระบุว่า HTTPS ทำงานอย่างถูกต้องบน Mozilla Firefox ซึ่งสามารถกำหนดค่าให้ใช้กฎพร็อกซีอิสระของตัวเองแทนที่จะใช้กฎพร็อกซีของระบบปฏิบัติการ Google Chrome ใช้พรอกซีของระบบปฏิบัติการโดยไม่มีตัวเลือกอื่นให้ทำได้ง่าย
เมื่อต้องผ่านพร็อกซีระดับระบบปฏิบัติการของ Fiddler ตอนนี้ Fiddler สามารถเป็น MitM เพื่อเก็บข้อมูล HTTPS ที่ไม่ได้เข้ารหัสในขณะที่ยังคงให้บริการเว็บไซต์ ไวโอลินเรียกหน้าเว็บบางส่วนแล้วนามว่า "www.google.com" DO_NOT_TRUST_FiddlerRoot
ใช้ใบรับรองที่เชื่อถือได้ก่อนหน้านี้
ภายใต้สถานการณ์เช่นนี้มัลแวร์สามารถใช้เวลามากกว่าทั้งพร็อกซี่และใบรับรองที่จะเลี้ยงคุณเว็บไซต์ที่ไม่ถูกต้องในขณะที่ยังคงแสดงให้คุณเห็น ฉันเห็นสิ่งนี้นำไปสู่การโจมตีแบบฟิชชิ่งที่ซับซ้อน
ความกังวลด้านความปลอดภัย
ที่เกี่ยวข้องกับการแลกเปลี่ยนความปลอดภัยกองซ้อน: ความเสี่ยงด้านความปลอดภัยใดบ้างที่ผู้ขายซอฟต์แวร์ใช้พร็อกซี Intercepting SSL บนเดสก์ท็อปผู้ใช้
ในฐานะที่เป็นเอริคอเรนซ์เคยเขียน ,
ความสามารถในการสกัดกั้น HTTPS ของ Fiddler (ถูกต้อง) ยกระดับความน่าสนใจให้กับผู้ใช้ที่ใส่ใจเรื่องความปลอดภัย
นั่นเป็นเหตุผลที่ Fiddler เตือนเกี่ยวกับผลกระทบด้านความปลอดภัยของการสกัดกั้นการรับส่งข้อมูล HTTPS:
จากข้อผิดพลาดของผู้ใช้หรือการติดตั้งมัลแวร์ Fiddler ได้เชื่อมโยงกับปัญหาต่าง ๆ :
แม้ว่าไวโอลินตัวเองไม่ได้เป็นโปรแกรมที่เป็นอันตรายในทางที่ผิดและความเข้าใจผิดของมันนำไปสู่การที่ผ่านมาชื่อเสียงที่ไม่ดีและไวรัสแกล้งทำเป็นไวโอลิน
การถอด
ฉันไม่รู้ว่าคอมพิวเตอร์ของคุณถูกขโมยโดยนักจี้บางคนหรือไม่ แต่คุณระบุว่าคุณไม่มีเวลาล้างคอมพิวเตอร์และติดตั้งใหม่ดังนั้นหวังว่าขั้นตอนต่อไปนี้จะสามารถกำจัด Fiddler และคืนค่าพฤติกรรมการรักษาความปลอดภัยของเว็บที่เหมาะสม (ฉันขอแนะนำให้ติดตั้งใหม่และเปลี่ยนรหัสผ่านหลังจากนั้นโดยเฉพาะอย่างยิ่งถ้าคุณจริงจังกับเรื่องความปลอดภัยคุณเขียน Spybot - การค้นหาและทำลายพบมัลแวร์บางตัว)
คำนำ: ยกเลิกการกำหนดค่าซอดเดอร์
โปสเตอร์ต้นฉบับค้นพบขั้นตอนเพิ่มเติมเหล่านี้เพื่อแก้ไขปัญหาของเขากับ Fiddler:
ในที่สุดสิ่งที่แก้ไขคือ: การตั้งค่า -> แสดงการตั้งค่าขั้นสูง -> ภายใต้เครือข่าย -> เปลี่ยนการตั้งค่าพร็อกซี -> ขั้นสูง -> รีเซ็ต
และ
นอกจากนี้ในการตั้งค่า Fiddler ฉันปิดใช้งานตัวเลือกที่อนุญาตให้ถอดรหัส HTTPS ปริมาณข้อมูลก่อนที่จะถอนการติดตั้งและล้างใบรับรองอีกครั้ง
ลบใบรับรองหลักของ Fiddler
- กดWin+r
- เปิด:
certmgr.msc
- ดูโฟลเดอร์ทั้งหมดและลบ
DO_NOT_TRUST_FiddlerRoot
ใบรับรอง
ถอนการติดตั้ง Fiddler
- ไปที่แผงควบคุม»โปรแกรม»โปรแกรมและคุณสมบัติ
- ถอนการติดตั้ง Fiddler แหล่งที่มาหนึ่งกล่าวว่า Fiddler อาจเรียกว่า "FiddlerRoot" หรือ "BrowserSafeguard"
ล้างการตั้งค่าพร็อกซี
สมมติว่าปกติคุณไม่ใช้พร็อกซีอื่น ...
- ไปที่แผงควบคุม»ตัวเลือกอินเทอร์เน็ต
- ในคุณสมบัติอินเทอร์เน็ตไปที่แท็บ "การเชื่อมต่อ"
- ภายใต้ "การตั้งค่าเครือข่ายท้องถิ่น (LAN)" คลิกที่ "การตั้งค่า LAN"
- ล้างและยกเลิกการเลือกการตั้งค่าพร็อกซีเช่น:
ลบมัลแวร์
ตามที่แนะนำก่อนหน้านี้เกี่ยวกับผู้ใช้ขั้นสูงคุณควรพยายามค้นหาและลบมัลแวร์ดั้งเดิมที่แสดงเว็บเพจ HTTPS ที่ปรับเปลี่ยน
คำแนะนำโดยละเอียด:
ฉันจะลบสปายแวร์มัลแวร์แอดแวร์ไวรัสโทรจันหรือรูทคิทที่เป็นอันตรายออกจากพีซีของฉันได้อย่างไร