我已经两次中招了,第一次是因为安装了一个万能复制插件,第二次是因为安装了一个 '一键谷歌翻译' 插件,我安装的这两个插件都是有一些评论 安装数 在前排的

    如何发现的?

经常莫名其妙有个音频开始播放 可以看到音频来源是某个不相关页面(包括科创页面) 大部分都是各种非英语的语言 不过有时会是中文视频(其中一个是王局),一开始以为是edge浏览器有bug,更新后无果,搜索有没有类似经历的依然未能搜索到,使用开发人员工具看了一下就成功发现了,原来是在偷偷访问yotube视频

    其显著特征为
1.莫名其妙一个网页开始播放一个声音(实际为在后台偷偷访问youtube视频)

2.无关页面访问 XXXXXXXXXXXXXXXXXXXX/timesince (提交协议头包括各种敏感信息)

3.无关页面访问 XXXXXXXXXXXXXXXXXXXXX/?app=m 

    为何认为有'大量'?

使用谷歌搜索XXXXXXXXXXXX 可以明显看到已经有一部分人在最少一年前就关注到了这件事 但是目前来看并未有任何大的关注

而我扩展安装的次数也非常少 只是一个广告过滤插件 油猴 万能复制 翻译 第一次就是我去安装万能复制扩展的时候安装到的病毒插件  第二次就是去安装翻译扩展插件 又再一次中招 这实在是太容易中招了

Browser hijacker? : techsupport (XXXXXXXXXX)

Concerned about XXXXXXXXXXXXXX - Resolved Malware Removal Logs - Malwarebytes Forums

    病毒插件细节

安装一键谷歌翻译后,打开开发人员工具后,再打开任意不知名网站,即可发现
此病毒疑似会检测访问网站是否在某个名单内（恶意js内带有一大串的网址,我打开常见网站也发现没有这些请求）,如果检测到了则在此网页下不进行恶意操作,疑似为了防止被发现

post数据里包含此页面浏览的网页的域名

第一次的扩展插件提交协议头上有附带本站cookie的,并且还有完整的网址,非这次的只有域名,不过我这并未有之前的截图

查看youtube浏览记录,点赞记录,任意点击一个视频都会发现 浏览数和点赞数离谱的差距

Microsoft Edge Add-ons

点击在商店中查看发现该扩展已经没了

并且我发现这个扩展好像会导致无法使用谷歌搜索,能够访问主页但是点击搜索就会这样,设置站点访问权限为单击时也一样的,得彻底关闭才行

最早发现时间 2024年2月10日 3月28日应该为第二次中招时间

恶意插件.zip 76.32KB ZIP 0次下载

恶意js代码.zip 507.98KB ZIP 0次下载

查看js代码发现有大量'混淆'反逆向操作 大量被编码的数据 定义了一大堆参数 

可能可以尝试使用github上开源的js解密工具进行解密

顺便我去随便去最新页面安装了好几个插件,不管是什么功能 都需要阅读你的浏览历史记录权限,至于会不会读取任何给你提交了,idontknow

(这个应该是很久以前的在微软商店安装的,并非'未知来源')

(我发现在2024/4/7 15:08 看不见这些请求了也许有时间段限制? 我想着挂着看看完整的流程,是访问了什么获取了需要被刷的视频之类的,之前的XXXXXXXXXXXXXXXXXXXX/timesince未有任何返回数据 由于时间原因暂时就写到这里了)