Algum malware provavelmente estava se passando pelo Fiddler , como apontou o desenvolvedor original do Fiddler, Eric Lawrence :
Várias partes de malware verificam se o Fiddler está em uso e, se estiverem, deixam de realizar atividades maliciosas para ocultar suas ações.
( fonte )
O Fiddler é uma ferramenta de depuração da web. Não possui nenhum comportamento malicioso e nunca é instalado, a menos que você o instale pessoalmente usando o instalador baixado da Telerik. O cenário descrito aqui é um malware que tenta evitar a detecção, parecendo o Fiddler.
( fonte )
Comportamento
O sinal mais claro de malware é que o Google Chrome não carrega sites HTTPS conforme planejado, a menos que você esteja usando o Fiddler para capturar tráfego. O Fiddler não foi projetado para interferir na sua navegação normal na Web quando não estiver em uso.
Para que o malware se esconda, ele precisa seqüestrar o proxy do Fiddler e renunciar ao tráfego HTTPS com a chave privada do certificado do Fiddler. É trivial alterar as configurações de proxy e é possível obter uma cópia da chave privada da sua instalação do Fiddler .
Certificado raiz
Você pediu ao Fiddler para instalar um certificado raiz no seu computador, o que permite que ele se insira como um homem no meio (MitM) para monitorar o conteúdo dos dados enviados por HTTPS:
Por outro lado, veja como normalmente https://www.google.com/ é confiável:
Seu computador confia no DO_NOT_TRUST_FiddlerRoot
certificado porque foi instalado no armazenamento confiável de certificados do sistema operacional.
Proxy para interceptar HTTPS
Você indicou que o HTTPS se comporta corretamente no Mozilla Firefox, que pode ser configurado para usar suas próprias regras de proxy independentes, e não as regras de proxy do sistema operacional. O Google Chrome usa o proxy do sistema operacional sem uma opção fácil para fazer o contrário.
Passando pelo proxy no nível do sistema operacional do Fiddler, o Fiddler agora pode ser o MitM para capturar dados HTTPS não criptografados enquanto ainda atende o site. O Fiddler busca uma página da Web e a assina como "www.google.com" usando o certificado confiável anteriormente DO_NOT_TRUST_FiddlerRoot
.
Nessas circunstâncias, o malware pode assumir o proxy e o certificado para alimentar o site errado e ainda mostrar o . Eu posso ver isso levando a ataques de phishing elaborados.
Preocupações com segurança
Relacionado ao Security Stack Exchange: Quais são os riscos à segurança dos fornecedores de software que implantam SSL Interceptando proxies nos desktops dos usuários
Como Eric Lawrence escreveu uma vez ,
Os recursos de interceptação HTTPS do Fiddler (com razão) despertam a atenção dos usuários preocupados com a segurança.
É por isso que o Fiddler alerta sobre as implicações de segurança da interceptação do tráfego HTTPS:
Por erro do usuário ou instalação de malware, o Fiddler foi associado a vários problemas:
Embora o próprio Fiddler não seja um programa prejudicial, seu uso indevido e mal-entendidos levaram a má reputação do passado e vírus fingindo ser o Fiddler .
Remoção
Não sei se o seu computador foi comprometido por algum seqüestrador do Fiddler, mas você indicou que não tem tempo para limpar o computador e reinstalá-lo. Portanto, esperamos que as etapas a seguir possam se livrar do Fiddler e restaurar o comportamento adequado da Web segura. (Eu ainda recomendaria reinstalar e alterar suas senhas posteriormente, especialmente se você for sério sobre segurança. Você escreveu que o Spybot - Search & Destroy encontrou algum malware.)
Prefácio: Desconfigurar o Fiddler
O pôster original descobriu essas etapas adicionais para resolver seu problema com o Fiddler:
Por fim, o que foi corrigido: Configurações -> Mostrar configurações avançadas -> Em rede -> Alterar configurações de proxy -> Avançado -> Redefinir
e
Também nas Configurações do Fiddler, desativei as opções, permitindo descriptografar o tráfego HTTPS antes de desinstalar e limpar novamente os certificados.
Remover certificado (s) raiz do violinista
- Pressione Win+r
- Aberto:
certmgr.msc
- Examine todas as pastas e remova o
DO_NOT_TRUST_FiddlerRoot
certificado.
Desinstalar o Fiddler
- Vá para Painel de Controle »Programas» Programas e Recursos.
- Desinstale o Fiddler. Uma fonte diz que o Fiddler pode ser chamado de "FiddlerRoot" ou "BrowserSafeguard".
Limpar configurações de proxy
Supondo que você normalmente não use um proxy diferente…
- Vá para Painel de controle »Opções da Internet.
- Nas Propriedades da Internet, vá para a guia "Conexões".
- Em "Configurações da rede local (LAN)", clique em "Configurações da LAN".
- Limpe e desmarque as configurações de proxy da seguinte maneira:
Remover malware
Conforme sugerido anteriormente no Superusuário , você deve tentar encontrar e remover o malware original que exibia as páginas HTTPS modificadas.
Conselho detalhado:
Como remover spyware, malware, adware, vírus, cavalos de Troia ou rootkits maliciosos do meu PC?