[Grzesiek1]

Przewagą Firefoksa nad konkurencyjnymi przeglądarkami jest mnogość dostępnych nań dodatków i wtyczek. Któż nie korzysta z takich, "kultowych" już rozszerzeń, jak Fasterfox, VideoDownloader czy Tabmix? Najwyraźniej na popularności Firefoksa próbują też zarobić cyberprzestępcy - firma McAfee zidentyfikowała właśnie konia trojańskiego, podszywającego się pod wtyczkę do tej popularnej przeglądarki. "Umieszczenie funkcjonalności we wtyczce czy rozszerzeniu do przeglądarki ma swoje zalety z punktu widzenia autorów - kod trojana i jego działanie mniej "rzuca się w oczy". Wszystkie połączenia, dostępy do plików, obciążenie pamięci i czasu procesora idą "na konto" przeglądarki", ostrzega Tomasz Sztejnike, przedstawiciel firmy Arcabit.





Pracownicy McAfee nadali trojanowi nazwę FormSpy. Pobierany jest on na komputer już zainfekowany innym "złośliwym" kodem - mowa tu o trojanie Downloader-AXM, wykrytym w ostatnim czasie w pewnej liczbie spamerskich wiadomości email. Działanie Downloadera-AXM polega na tym, iż komunikuje się on z zaprogramowanymi serwerami, skąd pobiera niebezpieczne aplikacje bez wiedzy użytkownika komputera. Trojan FormSpy, po pobraniu i zainstalowaniu, przedstawia się jako rozszerzenie do przeglądarki Firefox o nazwie NumberedLinks 0.9. Wtyczka taka istnieje w rzeczywistości, a umożliwia nawigowanie po panelach przeglądarki za pomocą klawiatury numerycznej.

"Innowacyjnym jest raczej sposób instalacji i - po części - ukrycia działania trojana" - uważa Tomasz Sztejnike z antywirusowej firmy Arcabit. "Pierwszą linią ataku jest tak czy inaczej Downloader. Ten musi zostać jakoś załadowany i aktywowany na komputerze ofiary. Stosowanie downloaderów jest tendencją dość powszechną, bo pozwala szybko zmienić funkcjonalność trojanów, które są już wykorzystywane "komercyjnie" - usługi sieci bot-netów są przedmiotem handlu na "czarnym rynku". Dzięki architekturze wykorzystującej downloader można łatwiej zmienić funkcjonalność takiej sieci - dostosować się np. do potrzeb klienta-spamera", przekonuje T. Sztejnike.
Najlepsze rozszerzenia dla najlepszej przeglądarki
Waszej uwadze polecamy lekturę artykułu "Najlepsze rozszerzenia dla najlepszej przeglądarki", w którym prezentujemy najciekawsze wtyczki dla Firefoksa.



Zainstalowany w systemie trojan może przesyłać informacje wyświetlone w oknie przeglądarki (np. wpisywane przez użytkownika hasła dostępowe bądź numery kart płatniczych) na inną stronę WWW, jak również wykradać hasła z protokołów komunikacyjnych ICQ, FTP, IMAP i POP3.

Wykrywamy trojana

Oryginalna wtyczka NumberedLinks 0.9 instaluje w systemie operacyjnym następujące pliki:

%MozillaUserProfile%\(ARBITRARY_CLASS_ID)\chrome\numberedlinks.jar
%MozillaUserProfile%\(ARBITRARY_CLASS_ID)\chrome.manifest
%MozillaUserProfile%\(ARBITRARY_CLASS_ID)\install.rdf

FormSpy modyfikuje pierwszy z wymienionych plików oraz instaluje kolejne:

%MozillaInstall%\components\AppInterConn.dll
%Mozilla%\AppInterConn.xpt
%Windir%\System32\138762763.exe

O obecności w systemie trojana (oczywiście oprócz niezamierzonej obecności wtyczki NumberedLinks 0.9 w spisie rozszerzeń Firefoksa, dostępnym w menu Tools/Extensions lub w Tools/Add-ons w Firefoksie 2.0 beta) świadczy istnienie w Rejestrze dwóch kluczy:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"stup" = "%Windir%\System32\138762763.exe"

HKEY_CURRENT_USER\Software\keys

oraz wychodzące połączenie HTTP z adresem IP 81.95.xx.xx

Źródło:IGD.pl

[^Viper]

ja tam nic na FF złego nie powiem co jakaś luka to uaktualniają zaraz i jest git