逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

事件起因

我在针对那些推广恶意广告软件的网站做日常正规的扫描时候,遇到了一个新型的Google 插件家族,名为”Affirmativo – Keep Safe!”(描述自己可以“隐藏您的浏览器记录,避免来自 ISPs的窥探“),实际上,它能够劫持Google和其他搜索引擎的搜索结果,除此之外,还能移除所有包含“Trump”字符串的网站内容,不过在该插件的功能描述中并没有提及此功能。

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

虽然过滤掉关于特朗普总统的网站内容并不是一件新鲜事,但这是我第一次看到一个不受欢迎的程序在用户不知情的情况下执行此操作行为。此外,目前还不清楚这种行为是否被用来阻止用户查看关于特朗普总统的负面报道,或者反过来说,关于他的正面报道。

从网络上移除“Trump

当用户终端上安装了这款“Affirmativo – Keep Safe!”插件后,它将执行一个操作:搜索“Trump”(不区分大小写)字符串,并使得包含该字符串的网站无法显示。这将有效的删除包含“Trump”一次的任何段落,甚至是整个页面。

分析这个插件的脚本代码(如下图所示),可以看到,它执行“Trump”这个单词的搜索,如果检测到,会运用jQuery淡出效果去匹配容器,达到隐藏页面上文本信息的目的。

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

插件在移除包含“Trump”一词的内容同时,会使用一个计数器进行增量计算,跟踪所有的“Trumps removed”的操作,可以在插件的选项中看到此计数器,如下图所示:

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

劫持你的Web搜索

尽管移除“Trump”的功能使这个插件有别于该恶意家族中的其他变体,但这个插件的主要目标依然是劫持用户使用主流搜索引擎从Chrome 地址栏中进行网络搜索的搜索结果。

一旦安装了该插件,用户在使用Google、Bing,、Ask.com、Aol.com 、 Wow.com 、Searchlock.com或 Duckduckgo.com进行搜索时,不会从搜索引擎返回搜索结果,而是会被重定向到Yahoo。目前还不清楚为什么会出现这种行为,但我猜想如果广告显示在Yahoo搜索结果中,开发者可能会有收入分成。

执行这一行为的脚本代码如下图所示,正如你所看到的,如果用户执行黄色高亮显示的搜索引擎列表进行搜索时,查询首先被发送到allgfind.com,然后直接被重定向到了Yahoo.com。

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

应对措施

目前,“Affirmativo – Keep Safe!”正在通过网站进行推广,会提示用户在离开站点之前需要安装此插件。一般情况下,这类广告都是由于计算机上安装的广告软件显示出来的,不幸的是,大多数的用户都没有意识到通过简单的关闭浏览器,就可以规避这种类型的广告。

对于已经/可能安装此插件,或主机显示类似行为的用户,可以通过常规的方式删除该插件,示例如下。

方法一:

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容 逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

方法二:

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

逆天的Google插件:能够移除所有包含“Trump”字符串的网站内容

*文章来源:bleepingcomputer,转载请注明来自MottoIN.

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/104268.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code