Firefox zapamiętuje hasła? Uważaj: trojan!

Większość współczesnych przeglądarek internetowych wyposażona jest moduł zapamiętywania danych logowania, używanych przez internautę. Kiedy otwieramy stronę wymagającą podania identyfikatora i hasła - np. strona poczty e-mail czy serwisu społecznościowego - przeglądarka wyświetla monit z pytaniem, czy ma zapamiętać dane logowania. Użytkownik może wyrazić na to zgodę lub nie (Firefox domyślnie zapamiętuje te informacje).

Mechanizm ten, jakkolwiek wygodny i ułatwiający dostęp do najczęściej odwiedzanych serwisów, nie jest najlepszym rozwiązaniem z punktu widzenia bezpieczeństwa użytkownika.

Zobacz również:

• Microsoft kopiuje pomysł z Opery. Ładnie to tak?
• Wirus w systemie. Oto 15 oznak jego obecności

Firma Webroot znalazła poważny dowód na potwierdzenie tej tezy, w postaci robaka Trojan-PWS-Nslog.

Trojan po zainfekowaniu systemu wprowadza zmiany w jednym z plików instalacyjnych Firefoksa (nsLoginManagerPrompter.js), co sprawia, że program automatycznie zachowuje wszystkie ID i hasła, wpisywane przez internautę, nie wyświetlając alertów.

Na tym aktywność robaka się nie kończy. Tworzy on na zainfekowanej maszynie nowe konto o nazwie Maestro, po czym przeszukuje foldery zainstalowanych w systemie przeglądarek, w których programy przechowują zapisane dane logowania. Zebrane informacje przesyła przez Internet.

Specjaliści z Webroot po zbadaniu kodu robaka odkryli nazwisko i e-mail autora robaka. Dzięki temu nietrudno było znaleźć jego profil w serwisie Facebook. Irańczyk, bo z tego kraju pochodzi cracker, oferuje zestaw developerski do tworzenia keyloggerów.

Z usunięciem robaka powinny poradzić sobie programy antywirusowe. Aby naprawić uszkodzony plik instalacyjny Firefoksa wystarczy pobrać ponownie instalator przeglądarki i zainstalować go w systemie - stosowny plik zostanie nadpisany.