Adware insidioso di Chrome

Questa mattina mi è capitato un caso di un malware abbastanza insidioso per Google Chrome, in questo caso per Windows.

Alla vittima si aprivano linguette di Chrome con finti avvisi di computer infetto e similari e pop-up modali JavaScript dello stesso tono.

Le ultime versioni di Kaspersky e AdwCleaner non riuscivano ad avere ragione del malware.

AdwCleaner trovava i file generati dall’adware e li rimuoveva, ma non riusciva ad identificare l’adware.

Un sintomo sospetto era che la pagina delle estensioni di Google Chrome richiamabile con l’URL chrome://extensions/ risultava vuota, evidente trucco di un’estensione che voleva nascondersi.

La soluzione è stata andare in %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\extensions in cui sono registrate le estensioni di Chrome per il profilo utente.

Mettendo le directory in ordine di creazione, quella più recente aveva la medesima data dell’inizio dei problemi segnalati dall’utente.

La rimozione della directory con Chrome chiuso ha risolto il problema.

Una volta rilanciato Chrome, la pagina dell’elenco delle estensioni ha ricominciato a funzionare correttamente ed è stato possibile rimuovere altre estensioni inutili e riabilitare l’estensione dell’antivirus.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Adware insidioso di Chrome”

  1. Ciao!
    Hai un errore nella path in cui andare:
    Giusta:
    %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Extensions
    Sbagliata (scritta nell’articolo)
    %USERPROFILE%\AppData\Local\Google\Chrome\UserData\Default\Extensions
    (nota UserData tutto attaccato … va con il blank: User Data)

    Zappa

  2. Appena visto anche io da un cliente. Insidioso perche` non “parte” subito, ma aspetta un poco in modo che quando l’ho controllato io (rapidamente) sembrava tutto OK.

  3. Ecco perchè su windows uso solo i browser portable USB: più facili da manovrare, smontare, aggiornare, anche se manualmente. Non si toccano i file di sistema, non c’è bisogno di operare da admin.

  4. Stessa cosa da un mio cliente, sia adwcleaner che zhpcleaner non hanno risolto; andando su chrome://extensions venivo direzionato su chrome://apps. Apparivano a caso finestre fullscreen che bloccavano qualsiasi operazione obbligando a installare una estensione. Ho risolto con il tuo stesso metodo.
    Grazie per la dritta!

Spazio per un commento