Что такое Best-Deals-Products и является ли это вредоносным ПО?

Question

Я обнаружил что-то, что я подозреваю, что это вредоносная программа / надстройка. Скрипт добавляется на каждый веб-сайт, который я посещаю, даже когда я сделал это сам. Это добавляется в: http://puu.sh/dgIF0/0c452eb390.png и iFrames создаются в теле (http://puu.sh/dgJf3/c700693208.png). Я проверил некоторые из них, перешел по ссылкам и заметил, что они собирают метаданные и загружают их в Интернет. (кусок кода: http://puu.sh/dgIJE/3c53d5b1cc.png с этим кодом также произошла ошибка). Я не могу найти много (полезной) информации о продуктах Best-Deal в Интернете (отсюда и это сообщение). Кроме того, когда я использую Internet Explore или Google Chrome Portable (вместо "обычного" Google Chrome), он снова там. Программы как JunkwareRemovalTool не решили проблему (если это действительно проблема). о моей системе: я использую advast! (бесплатно), у меня есть ОС Windows 8 64 бит, и есть вещи Lenova. проблема не возникает при открытии файлов HTML с моего компьютера, только файлы HTML из Интернета. Также кажется, что не имеет значения, какую сеть я использую. Я сделал пустой файл php и загрузил его на 000webhost. При просмотре исходного кода в голове есть только это: <script src="https://www.best-deals-products.com/ws/sf_main.jsp?dlsource=hdrykzc"></script> но при использовании "проверить элемент" отображается много кода, который не принадлежит мне (кроме кода 000webhost), элементы находятся во вложении. следующее также во вложении: URL-адреса от Best-Deal-Products, найденные в теге, и консольный журнал от Google Chrome при посещении google.nl

Мои основные вопросы: что такое Best-Deal-Products? Что оно делает? Есть ли какой-нибудь негативный эффект для меня? Если да, что я могу с этим поделать? Я надеюсь, что дал достаточно информации, но на случай, если нет; спросите, и я постараюсь найти его (или сеанс TeamViewer?) Я также попросил помощи у avast! и VirusTotal.

Вложение:

ссылки в тегах

https://www.best-deals-products.com/ws/sf_preloader.jsp?dlsource=hdrykzc&ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/sf_code.jsp?dlsource=hdrykzc&ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/slideup2/main.js?ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/side_slider/main.js?ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/js/base_single_icon.js?ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/css/main.css?v=2014.12.4.3.1

ссылки в тегах:

https://www.best-deals-products.com/ws/userData.jsp?dlsource=hdrykzc&userid=&ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/co/register_server_layer.html?version=2014.12.4.3.1

войти из Google Chrome при посещении Google.NL

Resource interpreted as Script but transferred with MIME type text/html: "https://www.best-deals-products.com/ws/sf_main.jsp?dlsource=hdrykzc".
sf_main.jsp?dlsource=hdrykzc:322 Uncaught TypeError: Cannot read property 'appendChild' of null
(index):4 Resource interpreted as Script but transferred with MIME type text/html: "https://www.best-deals-products.com/ws/sf_main.jsp?dlsource=hdrykzc".
Resource interpreted as Image but transferred with MIME type text/javascript: "https://www.best-deals-products.com/ws/tu.action?userId=fa8fa52b-c827-d5d4-…d8615-d4a&referrer=&page_url=https%3A%2F%2Fwww.google.nl%2F%3Fgws_rd%3Dssl".
frame?sourceid=1&hl=nl&origin=https%3A%2F%2Fwww.google.nl&jsh=m%3B%2F_%2Fscs%2Fabc-static%2F_%2Fjs%…:1 Refused to load the script 'https://www.best-deals-products.com/ws/sf_main.jsp?dlsource=hdrykzc' because it violates the following Content Security Policy directive: "script-src 'unsafe-inline' 'unsafe-eval' 'self' https://*.googleapis.com https://*.gstatic.com https://apis.google.com https://www.google-analytics.com https://www.googletagmanager.com https://*.talkgadget.google.com https://pagead2.googleadservices.com https://pagead2.googlesyndication.com https://tpc.googlesyndication.com https://s.ytimg.com https://www.youtube.com https://clients1.google.com https://www.google.com".

Элементы в моем "пустом" php-файле, размещенном на 000webhost:

    <html><head><script src="https://www.best-deals-products.com/ws/sf_main.jsp?dlsource=hdrykzc"></script><style type="text/css"></style><script type="text/javascript" src="http://www.best-deals-products.com/ws/sf_preloader.jsp?dlsource=hdrykzc&amp;ver=2014.12.4.4.1"></script><script type="text/javascript" src="http://www.best-deals-products.com/ws/sf_code.jsp?dlsource=hdrykzc&amp;ver=2014.12.4.4.1"></script><script type="text/javascript" src="http://www.best-deals-products.com/ws/slideup2/main.js?ver=2014.12.4.4.1"></script><script type="text/javascript" src="http://www.best-deals-products.com/ws/side_slider/main.js?ver=2014.12.4.4.1"></script><script type="text/javascript" src="http://www.best-deals-products.com/ws/js/base_single_icon.js?ver=2014.12.4.4.1"></script><link rel="stylesheet" href="http://www.best-deals-products.com/ws/css/main.css?v=2014.12.4.4.1"></head>
    <body>
    <div>

        </div>


<!-- Hosting24 Analytics Code -->
<!-- End Of Analytics Code --><script type="text/javascript" src="http://stats.hosting24.com/count.php"></script>

<iframe src="http://www.best-deals-products.com/ws/userData.jsp?dlsource=hdrykzc&amp;userid=&amp;ver=2014.12.4.4.1" style="position: absolute; top: -100px; left: -100px; z-index: -10; border: none; visibility: hidden; width: 1px; height: 1px;"></iframe><iframe src="https://www.best-deals-products.com/ws/co/register_server_layer.html?version=2014.12.4.4.1" style="position: absolute; width: 1px; height: 1px; left: -100px; top: -100px; visibility: hidden;"></iframe><iframe style="position: absolute; width: 1px; height: 1px; top: 0px; left: 0px; visibility: hidden;"></iframe><sfmsg id="sfMsgId" data="{&quot;imageCount&quot;:0,&quot;ip&quot;:&quot;1.1.1.1&quot;}"></sfmsg></body></html>

Answer 1

Было обнаружено, что многие компьютеры Lenovo поставляются с программным обеспечением "Superfish", которое выполняет атаку "человек посередине" по всему HTTP и даже защищенный HTTPS-запрос с использованием самозаверяющего SSL-сертификата. Помимо прочего, Superfish внедряет javascript из best-deals-products.com в каждую загруженную веб-страницу.

Кроме того, благодаря незнанию компании, стоящей за ним, закрытый ключ уже извлечен и готов к публичному использованию для перехвата любого HTTPS-трафика, поступающего с компьютера Lenovo.

Это означает, что даже для банковских операций или транзакций любой злоумышленник может прочитать предположительно безопасный контент, прослушивая ваш сигнал Wi-Fi. Это очень опасная ситуация.

Был случай, когда при использовании веб-среды IDE, такой как JS Bin, для написания кода, загрузки файла и загрузки его на хост-сервер сценарий был распространен среди других людей, даже не использующих компьютер Lenovo.

Вы можете проверить полную информацию, в том числе, если вы уязвимы здесь. Возможно, вы также захотите ознакомиться с официальным заявлением Lenovo относительно Superfish, их советами по безопасности в отношении уязвимости и предлагаемыми инструкциями по их удалению.

Answer 2

Что такое Best-Deal-Products? Что оно делает?

Когда вы отправляетесь в интернет-магазин, он отображает списки похожих продуктов с указанными в них ценами из других источников в Интернете. Я думаю, что цель состоит в том, чтобы помочь вам найти более дешевые цены на вещи. Также очень возможно, что он делает другие вещи тайно.

Есть ли какой-нибудь негативный эффект для меня?

Больше рекламы для меня негативно. Также я не верю, что я не делаю что-то плохое за моей спиной.

Если да, что я могу с этим поделать?

Это, вероятно, будет отличаться от случая к случаю. В моем случае это пришло с моим компьютером. Он исчез после удаления "Lenovo Experience Improvement", хотя я также внес несколько других изменений. Возможно, это было связано с Pokki или чем-то еще.

Answer 3

это не просто lenovo, некоторые аддоны браузера включают в себя javascript от superfish, один из которых я могу подумать, это Youtube Downloader 4K - Video Downloader https://addons.mozilla.org/en-US/firefox/addon/media-downloader/ он имеет почти 160 000 пользователей, вы можете открыть его xpi и посмотреть файл с именем superfish.js. Изучив его содержимое, вы увидите, откуда появился best-deals-products.com. Если у вас есть это дополнение, удалите его, есть лучшие и чистые альтернативы, есть другие бесплатные приложения, которые делают то же самое, будьте осторожны с тем, что вы устанавливаете.

Answer 4

Исправлена.

У меня нет компьютера Lenovo, и вредоносная программа Superfish не была установлена. В моем случае проблема заключалась в аддоне Firefox под названием Youtube Downloader 4K - Video Downloader (или что-то подобное), который я обнаружил с помощью RequestPolicy. Почти на каждом сайте, который я посещаю, bestdealsproduct.com хотел внедрить код. Помог полезный ответ путем удаления следующего аддона; Youtube Downloader 4K - загрузчик видео. Удалите аддон, и все в порядке.