Trojan atakujący Firefoksa
Według doniesień firmy Webroot, odkryty niedawno robak zmusza przeglądarkę Firefox do potajemnego przechowywania haseł.
Zamiast śledzić całość danych wprowadzanych z klawiatury, robak wykorzystuje fakt, że identyfikatory stron są umieszczone w pamięci haseł przeglądarki WWW. Aby zastać wszystkie interesujące go hasła, wirus ochrzczony mianem Trojan-PWS-Nslog modyfikuje nieco ustawienia Firefoksa: dzięki kilku manipulacjom w należącym do przeglądarki pliku z JavaScriptem nakłania on ją do automatycznego zapisywania danych logowania bez pytania użytkownika o zgodę.
W tym celu robak po prostu deaktywuje funkcję pytania użytkownika o zgodę w pliku nsLoginManagerPrompter.js i dodaje wiersz automatycznego zapisywania. Redakcji heise Security udało się sprawdzić skuteczność tych manipulacji, które przypuszczalnie bazują na znanym już od 2009 roku triku.
W normalnej sytuacji Firefox pyta użytkownika, czy ma przechowywać dane; ze względów bezpieczeństwa wielu internautów odpowiada na to pytanie przecząco, ponieważ robaki najpierw zaglądają do pamięci haseł i przesyłają odczytane informacje. Również PWS-Nslog stara się co minutę odczytać dane z pamięci Internet Explorera i Firefoksa oraz przesyłać je do serwera.
Według analiz firmy Webroot autor malware'u nie zadał sobie trudu, by zatrzeć własne ślady. W kodzie robaka znajduje się jego imię wraz z adresem Gmaila. Poza tym eksperci z Webroot szybko odnaleźli na Facebooku stronę rzekomo irańskiego programisty, który twierdzi, że programuje crimeware dla przyjemności.
Zagrożone są wszystkie platformy, na których trojan ma prawa do modyfikacji pliku nsLoginManagerPrompter.js. W przeprowadzonych przez nas testach zadziałało to zarówno w systemie Windows XP, Windows 7, jak i Ubuntu 10.04. Warto jednak zauważyć, że w przypadku systemów Windows 7 i Ubuntu, standardowy użytkownik działa z ograniczonymi uprawnieniami, więc "szkodnik" nie może w prosty sposób zmodyfikować wspomnianego pliku bez uciekania się do dodatkowych sztuczek.
