Skomentuj:
Aby ocenić zaloguj się lub zarejestrujX
O całej sprawie poinformował w blogu organizacji Nick Nguye, jeden z pracowników Mozilli. Z jego relacji wynika, że w rozszerzeniu 4.0 Sothink Web Video (późniejsze wersje nie są zainfekowane) pojawił się koń trojański o nazwie Win32.LdPinch.gen, zaś we wszystkich wersjach Master Filer - trojan Win32.Bifrose.32.Bifrose.
Oba "szkodniki" działają dość podobnie - po zainstalowaniu rozszerzenia w Firefoksie trojany infekują system Windows (tylko ten OS jest zagrożony) i kopiują się na dysk. Później są już niezależne od Firefoksa - nawet jeśli użytkownik usunie zainfekowane rozszerzenia, trojany i tak zostaną w systemie. Dlatego też Mozilla zaleciła użytkownikom, by oprócz usunięcia Sothink Web Video oraz Master Filer, jak najszybciej przeprowadzili pełne skanowanie systemu za pomocą uaktualnionego programu antywirusowego.
Na szczęście żadne z wymienionych wyżej rozszerzeń nie jest specjalnie popularne - w sumie zainfekowane wersje pobrało kilka tysięcy użytkowników z całego świata.
Pozostaje pytanie: jak to się stało, że aplikacje zawierające złośliwy kod w ogóle dostały się do oficjalnego katalogu z dodatkami do Firefoksa? Przedstawiciele Mozilli winą za to obarczają wykorzystywaną przez nich aplikację antywirusową oraz - pośrednio - samych siebie. Wina antywirusa polega na tym, że nie wykrył zagrożenia podczas wprowadzania Sothink Web Video oraz Master Filer do katalogu, zaś wina Mozilli - na tym, że organizacja ograniczała się do sprawdzenia plików za pomocą tylko jednego programu antywirusowego. Po tym incydencie będzie inaczej - każdy wprowadzany do katalogu dodatek będzie skanowany trzema niezależnymi aplikacjami AV.
To nie pierwsza taka wpadka Mozilli - przed dwoma laty złośliwe oprogramowanie znaleziono w wietnamskim pakiecie językowym (który również został pozytywnie zweryfikowany przez organizację). Wtedy jednak skala zagrożenia była znacznie większa - zainfekowany pakiet został pobrany przez blisko 20 tys. użytkowników.
Dodajmy, że ciekawy raport na temat niebezpiecznych rozszerzeń do Firefoksa opublikowała pod koniec ubiegłego roku firma Symantec. Jego autorzy prognozują, że przestępcy będą w przyszłości coraz chętniej wykorzystywali system dodatków do wprowadzania do systemu złośliwego kodu - głównie dlatego, iż użytkownicy nie spodziewają się, że oficjalnie zatwierdzone przez Mozillę może zawierać jakieś niebezpieczne pliki. Symantec spodziewa się, że przestępcy będą stosowali najróżniejsze techniki tzw. zaciemniania kodu (czyli obfuskacji), mające na celu ukrycie prawdziwego działania rozszerzeń oraz że będą oni próbowali "ataków wieloskładnikowych" - tzn. takich, w których do wykonania złośliwych operacji w systemie niezbędne będzie współdziałanie kilku różnych, odpowiednio spreparowanych, rozszerzeń. Raport dostępny jest na stronie firmy Symantec.
Więcej informacji o trojanach w rozszerzeniach do Firefoksa można znaleźć w blogu Mozilli (jest tam m.in. lista aplikacji AV, które są w stanie wykryć i usunąć Win32.LdPinch.gen oraz Win32.Bifrose.32.Bifrose).
Czytaj więcej na technologie.gazeta.pl
Oba "szkodniki" działają dość podobnie - po zainstalowaniu rozszerzenia w Firefoksie trojany infekują system Windows (tylko ten OS jest zagrożony) i kopiują się na dysk. Później są już niezależne od Firefoksa - nawet jeśli użytkownik usunie zainfekowane rozszerzenia, trojany i tak zostaną w systemie. Dlatego też Mozilla zaleciła użytkownikom, by oprócz usunięcia Sothink Web Video oraz Master Filer, jak najszybciej przeprowadzili pełne skanowanie systemu za pomocą uaktualnionego programu antywirusowego.
Na szczęście żadne z wymienionych wyżej rozszerzeń nie jest specjalnie popularne - w sumie zainfekowane wersje pobrało kilka tysięcy użytkowników z całego świata.
Pozostaje pytanie: jak to się stało, że aplikacje zawierające złośliwy kod w ogóle dostały się do oficjalnego katalogu z dodatkami do Firefoksa? Przedstawiciele Mozilli winą za to obarczają wykorzystywaną przez nich aplikację antywirusową oraz - pośrednio - samych siebie. Wina antywirusa polega na tym, że nie wykrył zagrożenia podczas wprowadzania Sothink Web Video oraz Master Filer do katalogu, zaś wina Mozilli - na tym, że organizacja ograniczała się do sprawdzenia plików za pomocą tylko jednego programu antywirusowego. Po tym incydencie będzie inaczej - każdy wprowadzany do katalogu dodatek będzie skanowany trzema niezależnymi aplikacjami AV.
To nie pierwsza taka wpadka Mozilli - przed dwoma laty złośliwe oprogramowanie znaleziono w wietnamskim pakiecie językowym (który również został pozytywnie zweryfikowany przez organizację). Wtedy jednak skala zagrożenia była znacznie większa - zainfekowany pakiet został pobrany przez blisko 20 tys. użytkowników.
Dodajmy, że ciekawy raport na temat niebezpiecznych rozszerzeń do Firefoksa opublikowała pod koniec ubiegłego roku firma Symantec. Jego autorzy prognozują, że przestępcy będą w przyszłości coraz chętniej wykorzystywali system dodatków do wprowadzania do systemu złośliwego kodu - głównie dlatego, iż użytkownicy nie spodziewają się, że oficjalnie zatwierdzone przez Mozillę może zawierać jakieś niebezpieczne pliki. Symantec spodziewa się, że przestępcy będą stosowali najróżniejsze techniki tzw. zaciemniania kodu (czyli obfuskacji), mające na celu ukrycie prawdziwego działania rozszerzeń oraz że będą oni próbowali "ataków wieloskładnikowych" - tzn. takich, w których do wykonania złośliwych operacji w systemie niezbędne będzie współdziałanie kilku różnych, odpowiednio spreparowanych, rozszerzeń. Raport dostępny jest na stronie firmy Symantec.
Więcej informacji o trojanach w rozszerzeniach do Firefoksa można znaleźć w blogu Mozilli (jest tam m.in. lista aplikacji AV, które są w stanie wykryć i usunąć Win32.LdPinch.gen oraz Win32.Bifrose.32.Bifrose).
Czytaj więcej na technologie.gazeta.pl
