@remzalp
Программер чего попало на чем попало

Перехватывается HTTPS, подписывается левой подписью, как найти виноватого?

На компьютере товарища столкнулся с проблемой - какая-то нехорошая программа:
1. Внедряется в https трафик, переподписывает сертификаты сервера сертификатом московской конторы "TNS GALLUP MEDIA"
2. Добавила этот сертификат в хранилище доверенных корневых сертификатов.

Напоминает ту самую бумажку из трёх мушкетёров "Податель сего документа действует по моему распоряжению и на благо Франции. Ришелье"

Собственно подтверждение:
N6YCW0dXny4.jpg-Z9GwKn7qiU.jpgIDHvx-ABjKQ.jpg

Из максимально подозрительного - антивирус Аваст, но отключение всех трех фильтров (файловый, почты и веб), с последующей перезагрузкой делу не помогло.

Удалось заметить странное поведение только благодаря работе из виртуальной машины - там то в хранилище доверенных сертификатов так просто не дописаться.

Помогите в диагностике, может кто-то уже сталкивался?

UPD: виновником оказался плагин ResearchBar от компании интернет-анкета
Как и следовало ожидать... Спасибо!
  • Вопрос задан
  • 1330 просмотров
Решения вопроса 1
@res2001
Developer, ex-admin
Эта TNS, на сколько я понимаю, собирает информацию с компов, потом стряпает из нее разные опросы и рейтинги. Сам не сталкивался именно с этой дрянью, но тут подход стандартный к любому ПО с подобным поведением. Оно к вам, скорее всего, попало при установке какого-либо бесплатного софта, не отжали где-то галку и т.п. Довольно распространенный способ распространения. Вроде бы и легальный, но за такое поведение хочется придушить :)

Можно предпринять следующее (перечислено по степени сложности):
1.Проверьте настройки прокси-сервера браузеров и если у вас типичная конфигурация (без прокси), то удалите настройки прокси, если они есть. Удалите все не нужные программы и программы, назначения которых вы не знаете, а так же недавно установленные программы (есть риск удалить драйвера устройств). После удаления программ в профиле пользователя и общем профиле (c:\ProgramData) удалить каталоги этих программ из AppData. Почистить каталог %TEMP% пользователя. Очистить кэши браузеров, а еще лучше удалить профили браузеров.
2.Создайте нового пользователя в системе, зайдите им, если такого же поведения не будет - значит ваш шпион прописался в профиль предыдущего пользователя. Можно перенести нужные данные от старого пользователя, а старую учетку удалить. Либо, если учетка дорога как память - удалить профиль старого пользователя, зайти им, профиль создаться с чистого листа. Либо переименовать каталог с профилем, создать новый и перенести информацию. В общем тут действуйте осторожней, чтоб не потерять свою информацию. Если же ничего ценного нет, то можно смело удалять профиль.
3.Если ничего из вышеперечисленного не помогает, то шпион проник в систему достаточно глубоко - установился в Program Files или в виндовый каталог. Найти загрузочный диск/флэшку с антивирусом: есть у каспера, у др.веба готовые сборки. Натравить полную проверку с удалением найденного.
4.Переустановить винду с форматированием системного раздела.

Лично я начал бы сразу со 2 пункта. Если не поможет то 1,3,4. Пункт 3 не особо действенный, но исключать его не стоит.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Artorius
В 57 Chrome из за этой программы, подменяющей https сертификат, не открываются сайты по https
Вот тема https://productforums.google.com/forum/?utm_medium...
Спасибо за UPD про ResearchBar
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
CV Recruitment Москва
До 180 000 руб.
Heedbook Москва
от 100 000 до 200 000 руб.
Spark Equation Санкт-Петербург
от 180 000 руб.