ผู้ใช้ Opera ติดตั้ง Tampermonkey เวอร์ชั่น 4.7.54 จาก Chrome Web Store พบว่าเบราว์เซอร์ได้มีการติดตั้งส่วนเสริม Blacklist มาด้วย และเมื่อทำการเปิดรายการส่วนเสริมของเบราว์เซอร์ จะได้รับข้อความสีแดงแจ้งว่าส่วนเสริมนี้ได้ถูกบล็อกโดย Opera
โดยข้อความระบุว่า “ส่วนขยายนี้เป็นอันตรายและได้ถูกขึ้นบัญชีดำ (Blacklists) คุณสามารถเก็บไว้ได้ หรือลบมันออกไปได้ เพราะเครื่องของคุณเป็นจะไม่ได้รับอันตรายจากส่วนขยายนี้”
แต่ถ้าติดตั้ง Tampermonkey จาก Opera Store จะไม่เกิดปัญหานี้ เพราะเวอร์ชั่นที่ติดตั้งเป็นเวอร์ชั่น 4.5.5291 ซึ่งเป็นเวอร์ชั่นเก่า
เมื่อ Jan Biniok นักพัฒนา Tampermonkey ได้รับทราบปัญหานี้จึงทำการติดต่อไปยัง Opera ทันทีว่าเบราว์เซอร์ของบริษัทได้ตรวจพบตัวติดตั้งมัลแวร์จาก Chrome Web Store เป็นตัวกระจายมัลแวร์ โดย ID ของส่วนขยายนี้คือ “dhdgffkkebhmkfjojejmpbldmpobfkfo”
การติดตั้งส่วนขยายนี้จะติดตั้งแบบ manually ผ่านทาง Registry หรือไฟล์ JSON
จากนั้นจะมีข้อความแจ้งว่ากำลังติดตั้งส่วนขยาย “dhdgffkkebhmkfjojejmpbldmpobfkfo” ในไดร์ฟของเครื่องผู้ใช้ด้วยตนเอง ดังภาพ
ในตอนนี้ยังไม่มีคำตอบ หรือรายละเอียดเพิ่มเติม แต่ทาง BleepingComputer ได้ติดต่อไปทาง Opera เพื่อรับข้อมูลเพิ่มเติมแล้ว
สำหรับวิธีการลบ blacklist ตามคำแนะนำของ Venkat จาก TechDows สามารถทำได้โดยไปแก้ไขที่ไฟล์ Preferences ของ Opera
- ปิด Opera
- เปิด notepad
- เปิดไฟล์ %UserProfile%\AppData\Roaming\Opera Software\Opera Stable\Preferences
- ค้นหาข้อความ “dhdgffkkebhmkfjojejmpbldmpobfkfo” แต่อาจจะหายากนิดนึง เพราะข้อความติดกันไปหมด
- เอา blacklist ออก โดยเปลี่ยนจาก
"blacklist" :trueไปเป็น"blacklist":falseและเปลี่ยน"blacklist_state":1ไปเป็น"blacklist_state":0ดังภาพ
6. บันทึกไฟล์ Preferences และปิด
7. เปิด Opera และ Tampermonkey อีกครั้ง
ที่มา: Bleeping Computer, Techdows, Virustotal
