Masz Firefoksa? Uważaj, co instalujesz

Przewagą Firefoksa nad konkurencyjnymi przeglądarkami jest mnogość dostępnych nań dodatków i wtyczek. Któż nie korzysta z takich, "kultowych" już rozszerzeń, jak Fasterfox, VideoDownloader czy Tabmix? Najwyraźniej na popularności Firefoksa próbują też zarobić cyberprzestępcy - firma McAfee zidentyfikowała właśnie konia trojańskiego, podszywającego się pod wtyczkę do tej popularnej przeglądarki. "Umieszczenie funkcjonalności we wtyczce czy rozszerzeniu do przeglądarki ma swoje zalety z punktu widzenia autorów - kod trojana i jego działanie mniej "rzuca się w oczy". Wszystkie połączenia, dostępy do plików, obciążenie pamięci i czasu procesora idą "na konto" przeglądarki", ostrzega Tomasz Sztejnike, przedstawiciel firmy Arcabit.

Masz Firefoksa? Uważaj, co instalujesz
Pracownicy McAfee nadali trojanowi nazwę FormSpy. Pobierany jest on na komputer już zainfekowany innym "złośliwym" kodem - mowa tu o trojanie Downloader-AXM, wykrytym w ostatnim czasie w pewnej liczbie spamerskich wiadomości email. Działanie Downloadera-AXM polega na tym, iż komunikuje się on z zaprogramowanymi serwerami, skąd pobiera niebezpieczne aplikacje bez wiedzy użytkownika komputera. Trojan FormSpy, po pobraniu i zainstalowaniu, przedstawia się jako rozszerzenie do przeglądarki Firefox o nazwie NumberedLinks 0.9. Wtyczka taka istnieje w rzeczywistości, a umożliwia nawigowanie po panelach przeglądarki za pomocą klawiatury numerycznej.

"Innowacyjnym jest raczej sposób instalacji i - po części - ukrycia działania trojana" - uważa Tomasz Sztejnike z antywirusowej firmy Arcabit. "Pierwszą linią ataku jest tak czy inaczej Downloader. Ten musi zostać jakoś załadowany i aktywowany na komputerze ofiary. Stosowanie downloaderów jest tendencją dość powszechną, bo pozwala szybko zmienić funkcjonalność trojanów, które są już wykorzystywane "komercyjnie" - usługi sieci bot-netów są przedmiotem handlu na "czarnym rynku". Dzięki architekturze wykorzystującej downloader można łatwiej zmienić funkcjonalność takiej sieci - dostosować się np. do potrzeb klienta-spamera", przekonuje T. Sztejnike.

Najlepsze rozszerzenia dla najlepszej przeglądarki

Waszej uwadze polecamy lekturę artykułu "Najlepsze rozszerzenia dla najlepszej przeglądarki", w którym prezentujemy najciekawsze wtyczki dla Firefoksa.

Zainstalowany w systemie trojan może przesyłać informacje wyświetlone w oknie przeglądarki (np. wpisywane przez użytkownika hasła dostępowe bądź numery kart płatniczych) na inną stronę WWW, jak również wykradać hasła z protokołów komunikacyjnych ICQ, FTP, IMAP i POP3.

Wykrywamy trojana

Oryginalna wtyczka NumberedLinks 0.9 instaluje w systemie operacyjnym następujące pliki:

%MozillaUserProfile%\(ARBITRARY_CLASS_ID)\chrome\numberedlinks.jar

%MozillaUserProfile%\(ARBITRARY_CLASS_ID)\chrome.manifest

%MozillaUserProfile%\(ARBITRARY_CLASS_ID)\install.rdf

FormSpy modyfikuje pierwszy z wymienionych plików oraz instaluje kolejne:

%MozillaInstall%\components\AppInterConn.dll

%Mozilla%\AppInterConn.xpt

%Windir%\System32\138762763.exe

O obecności w systemie trojana (oczywiście oprócz niezamierzonej obecności wtyczki NumberedLinks 0.9 w spisie rozszerzeń Firefoksa, dostępnym w menu Tools/Extensions lub w Tools/Add-ons w Firefoksie 2.0 beta) świadczy istnienie w Rejestrze dwóch kluczy:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"stup" = "%Windir%\System32\138762763.exe"

HKEY_CURRENT_USER\Software\keys

oraz wychodzące połączenie HTTP z adresem IP 81.95.xx.xx

Aktualizacja: 31 lipca 2006 09:33

Udało nam się uzyskać komentarz Mike'a Schroepfera, wiceprezesa ds. technicznych w Mozilla Corporation, który w całości przytaczamy poniżej:

"O ile ten trojan [FormSpy - przypomnienie redakcji] kryje się w rozszerzeniu dla Firefoksa, nie różni się niczym od jakichkolwiek innych trojanów, które mogą zostać zainstalowane przez użytkownika zwiedzionego przez przestępcze witryny www lub spam. Zachęcamy użytkowników, by zachowywali szczególną ostrożność podczas instalowania oprogramowania z nieznanych źródeł, szczególnie w przypadku oprogramowania dołączonego do wiadomości pocztowych.

Mozilla współpracuje i będzie w dalszym ciągu ściśle współpracować z producentami oprogramowania antywirusowego, by pomagać użytkownikom."

Aktualizacja: 28 lipca 2006 11:13

Tekst został zaktualizowany o wypowiedzi Marka Stępnia z AviaryPL, polskiego zespołu lokalizacyjnego produktów Mozilli oraz Łukasza Szota, przedstawiciela firmy anrtywirusowej MKS.