Comportamiento raro en navegador protegido tras actualizacion a version 21

[Duke333]

Buenas.

 

Hace unos dias (2 de enero) se me actualizo mi Kaspersky Total Security a la version 21 (21.2.16.590b) y desde entonces cada que entraba en ciertas paginas como por ejemplo Humble Bundle (https://www.humblebundle.com/) e Inkarnate (https://inkarnate.com/) siempre se me abría una sesión en el navegador protegido a https://m.stripe.network

 

Ayer cambie la configuración de Pago Seguro de “Ejecutar en el Navegador Protegido” a “Preguntar al usuario” y dejo de abrir la sesión en el navegador protegido pero tampoco me pregunto nada. Lo volvi a poner en “Ejecutar en el Navegador Protegido” y ahora ya no abre la sesión en el navegador protegido.

 

¿Porque me estaba abriendo la conexion a https://m.stripe.network cada vez que accedia a esas paginas? ¿Y porque ahora ya no lo abre?

 

UPDATE: Acabo de entrar en https://www.streamloots.com y me vuelto a abrir la sesión en el navegador protegido a la misma URL de https://m.stripe.network

 

 

Saludos.

 

 

 

[harlan4096]

Bienvenid@ a la Comunidad de Kaspersky.

 

Ese comportamiento no creo que tenga nada que ver con Kaspersky en principio.

 

Descarga AdwCleaner (By Xplode/Malwarebytes): https://toolslib.net/downloads/finish/1/

 

1.- Cierra todos los navegadores y programas, pulsa en Analizar ahora, cuando termine (NO pulses en Limpiar y Reparar aún), pulsa en Cancelar.

2.- Nos vamos a Informes, y aquí tendremos el registro del informe generado en un archivo .txt, si hacemos doble click sobre él, veremos las detecciones.

3.- Copia el contenido de dicho informe, y en tu próximo mensaje, pega el contenido dentro del marco generado previamente al pulsar el botón [ ,, ] (Quote o Citar) de la barra horizontal de herramientas en el cuerpo de edición del mensaje.

 

Saludos.

[Duke333]

Buenas @harlan4096 

 

Mientras respondiais he estado investigando un poco y creo que ya se lo que pasa. Dichas páginas (o por lo menos Humble Bundle que es la que he investigado) incluyen en su diálogo del carrito un boton de Stripe (parece ser que es una pasarela de pago o algo así) y también un javascript que es el que acaba haciendo la llamada a https://m.stripe.network, supongo que para introducir algun trozo de html en la vista.

El porque ahora ocurre y antes no, se me ocurren 2 opciones:

1. Antes no estaba en las páginas y lo han incorporado ahora
2. Ahora Kaspersky lo reconoce como pasarela de pago y lo abre en el navegador protegido

Personalmente creo que va a ser la segunda pues me estrañaría que varias páginas se hubieran puesto de acuerdo para incorporarlo a la vez.

 

De todas formas voy a pasar el AdwCleaner y os subo el resumen y salimos de dudas.

 

Gracias.

 

[Duke333]

Este es el fichero que genera.

 

# -------------------------------
# Malwarebytes AdwCleaner 8.0.9.0
# -------------------------------
# Build:    01-11-2021
# Database: 2021-01-11.1 (Local)
# Support:  https://www.malwarebytes.com/support />#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-11-2021
# Duration: 00:00:13
# OS:       Windows 7 Home Premium
# Scanned:  31956
# Detected: 1

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.TheBrightTag       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\thebrighttag.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.

 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

 

 

Saludos.

[harlan4096]

Borra esto:

 

PUP.Optional.TheBrightTag       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\thebrighttag.com

 

Parece una redirección…

 

Saludos.

[Duke333]

Borrado @harlan4096 pero dudaba que fuera eso pues parece de Internet Explorer y solo lo he usado una vez para descargar Firefox hace años.

 

He vuelto a acceder a esa páginas y sigue abriendo la sesion en el navegador protegido.

 

¿Como puedo bloquear esa apertura solo para esa página que se abre sola?

 

 

[harlan4096]

He probado a visitar estas 2 páginas:

 

https://www.humblebundle.com/

https://inkarnate.com/

 

Y no se me ha abierto el Pago Seguro, pero es cierto que no me he atenticado ni intentado pagar nada…

 

Pero al probar esta https://m.stripe.network/ me ha aparecido esto:

 

 

Si en su momento abriste el Pago Seguro y dejaste la casilla activada, las siguientes veces se volverá a abrir dicha página en Pago Seguro. Cómo evito que se vuelva a abrir con el Navegador Protegido, pues nos venimos aquí:

 

 

Y guardamos cambios. Para acceder a dicha lista, vete a las Opciones → Protección → Pago Seguro → Crear acceso directo para Pago Seguro.

 

Saludos.

[Duke333]

Buenas @harlan4096 

 

No hace falta ni autenticarse ni ir a pagar, es la cargar la página. Lo único que en Humble Bundle no es en la home si no en la store (https://www.humblebundle.com/store?hmb_source=navbar ). Culpa mia por no ser preciso. Aun así ya te digo que no estoy logueado ni he hecho nada especial.

 

Creo que ya se porque a mi me pasa y a ti no. Si voy a Opciones → Protección → Pago Seguro en la opción de “Durante el primer acceso a sitios web de sistemas de pago y bancos” tengo marcado “Ejecutar en el navegador protegido” por lo que directamente no pregunta si no que lo lanza en el navegador protegido.

 

Probablemente tu tengas marcada “Preguntar al usuario” y por eso no te abre en el navegador protegido ni tampoco te pregunta ya que es una petición interna de un de las paginas y no un acceso del usuario. De hecho he probado a marcar yo esa opción y ya no me abre al entrar en cualquiera de las 2 páginas.  Obviamente si voy directo a https://m.stripe.network/  si que me pregunta.

 

Gracias por todo ;)

 

 

[harlan4096]

Exacto, yo tengo “preguntar” :)

 

Saludos.