web-dev-qa-db-ja.com

Linuxマシン上のChromiumマルウェア(可能性あり)

Linux Ubuntu 16.04でChromium 60.0.3112.11を実行する

  1. Chromiumは、bankofamerica.com、wellsfargo.com、americanexpress.com、discover.comをオートコンプリートすると、Linuxマシンのメディアにアクセスしようとします。

  2. Chromiumは、Googleで次の銀行関連の文字列を検索すると、Linuxマシンのメディアにもアクセスしようとします。 「アメリカ人」; 'アメリカ銀行'; 'ウェルズ・ファーゴ'; 「アメリカンエクスプレス」; '発見する'; 「アメリカンエクスプレスカード」; 'カードを発見する'; 'カードサービスを発見する'; ただし、次の場合は対象外です: 'bank of america customer service'; 「アメリカ金利銀行」; 「ウェルズファーゴカスタマーサービス」; 「ウェルズ・ファーゴ金利」; 「アメリカンエクスプレスカードサービス」; 'カード請求書支払いを発見する'; 「銀行」; 'アメリカ';そして、私がチェックした他のすべての銀行関連および非銀行関連の文字列。

  3. Chromiumは、任意のURLを再送信すると、ナビゲーションエントリのスクリーンショットマネージャにアクセスします。これは、過去にセレンを使用してクロムブラウザーを制御したことの名残かもしれませんが、前の2つのバグの性質を考えると、これは言及されるべきだと考えました。

ドキュメントは次のとおりです。

    me@linuxmachine:~$ chromium-browser &
    [1] 2496

4a。エラー:

    [1:13:0901/211311.279992:ERROR:adm_helpers.cc(62)] Failed to query stereo recording.

アドレスバーのオートコンプリートによって促されます:bankofamerica.com、americanexpress.comまたはGoogleで検索:「bank of america」、「american express」 、「アメリカンエクスプレスカード」

4b。エラー:

    [2496:2496:0901/211421.675100:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.
    [2496:2496:0901/211421.675126:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.

アドレスバーでのオートコンプリートによってプロンプトが表示されます:wellsfargo.comorGoogleで検索: 'wells fargo'、 'american'

4c。エラー:

    [2496:2496:0901/211631.723037:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.
    [2496:2496:0901/211631.723065:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.
    [1:13:0901/211633.046282:ERROR:adm_helpers.cc(62)] Failed to query stereo recording.

アドレスバーのオートコンプリートによってプロンプトが表示されます:discover.comまたはGoogleで検索:「discover」、「discover card」、「discover card services」

4d。エラー:

[2496:2496:0901/212845.137648:ERROR:navigation_entry_screenshot_manager.cc(134)] Invalid entry with unique id: 55

chromiumがすでに移動したURLをブラウザに再送信すると、プロンプトが表示されます。

5 ..質問:

フォーラムのメンバーは、これらのChromiumエラーと、私の財務データを標的とするマルウェアによって生成される可能性についてコメントしていただけますか?具体的には:

  1. 彼らは既知のマルウェアへの応答を予測していますか?その場合、マルウェアの名前と起源、ホストとして機能することが知られているファイル、および感染したシステムの適切な修復方法は何ですか?
  2. これらのエラーの性質を考えると、ブラウザーまたはシステムの安全性と財務データの安全性をどの程度懸念する必要がありますか?
  3. ブラウザまたはシステムへの脅威を適切に封じ込めて対処し、Chromiumを適切な機能に復元するにはどうすればよいですか?
malwarelinuxweb-browserchromium
6
anon

Chromiumはオープンソースであるため、これらのログメッセージがほぼ正常であることを確認できます。タイミングと財務関連の文字列との関連付けは異なります。

CheckAccessPermissionログは次の場所から取得されます: chromium/src/content/public/browser/web_contents_delegate.cc 。コールチェーンを追跡すると、 media_devices_permission_checker.cc のMediaDevicesManagerが見つかります。ここで、webまたはextensionのコンテンツが呼び出されたときにこれらの関数が呼び出されていることがわかります。マイクまたはカメラにアクセスしようとしています。

このように見えるためおそらく実装されていない拡張機能である可能性があり、またChrome拡張機能がブラウザによる魚の行動の原因である可能性が最も高いです。拡張リストの監査をchrome:// extensionsで実行することをお勧めします。動作がなくなるまで、拡張機能を1つずつ無効にしてみてください。シークレットモードでこれが発生しないことを確認してください/拡張機能がデフォルトでアクセスを許可されていないプライベートウィンドウ(拡張機能が「シークレットウィンドウで許可」としてマークされている場合は、テストする前にそのボックスをオフにします)。

1
Riking

あなたが投稿したエラーメッセージはどれも、ブラウザのマルウェアを示していません。新しいOriginに接続すると、zygoteから新しいレンダラープロセスの作成がトリガーされることが多く、新しいレンダラーはホストプロセスと対話します。その対話中に、メディアソースに接続する場合があります(または、ケースに応じて、接続に失敗する場合があります)。

マルウェアについて懸念があり、安心したい場合は、ClamAVを使用してスキャンを実行するか(Linuxを使用しているとのことです)、Wiresharkを使用して送信トラフィックを監視し、疑わしいホストへのトラフィックがないか確認します。

0
David