Złodziej danych w Firefoksie
Złośliwy kod instalujący się w przeglądarce Firefox dla systemu Windows pojawił się w Sieci. Potrafi kraść hasła, śledzić ruchy myszy i adresy wpisywane przez użytkownika do przeglądarki. Instaluje się bez wiedzy użytkownika, ale można go odkryć sprawdzając listę rozszerzeń.
O koniu trojańskim FormSpy poinformowała firma McAfee. Szkodnik ten rozprzestrzenia się poprzez e-mail. Listy, które go zawierają, zostały rzekomo wysłane przez sieć handlową Wal-Mart i zawierają w załączniku rachunek.
Otworzenie załącznika sprawia, że trojan instaluje keyloggera i sniffera. Komponenty te są odpowiedzialne za monitorowanie ruchów myszy, wpisywanych adresów, kradzież cennych haseł i loginów stosowanych na stronach, a także haseł używanych w sesjach ICQ i FTP. FormSpy monitoruje ponadto ruch pocztowy.
Charakterystyczne dla trojana jest to, że udaje on rozszerzenie Numberedlinks 0.9 do przeglądarki Firefox. W czasie instalacji dowolnego rozszerzenia użytkownik Fx jest zawsze pytany o zgodę na instalację, ale FormSpy nie jest tak grzeczny i trafia do folderów Firefoksa bez wiedzy zaatakowanego.
W razie wątpliwości można sprawdzić listę zainstalowanych rozszerzeń (Narzędzia >> Rozszerzenia). Jeśli niespodziewanie pojawiło się na niej rozszerzenie Numberedlinks 0.9 oznacza to, że przeglądarka została zainfekowana.
Trojan FormSpy wykorzystuje do instalacji innego trojana - VBS/Psyme. Ten z kolei wykorzystuje usterkę w przeglądarce IE. Działanie szkodliwego kodu nie opiera się więc o luki w przeglądarce Firefox.
Zdaniem ekspertów z McAfee cyberprzestępcy będą coraz częściej szukać dróg do zaatakowania Firefoksa, którego można już nazwać przeglądarką popularną. Właśnie sposób instalowania rozszerzeń może szczególnie zainteresować oszustów, a więc powinni mu się baczniej przyjrzeć również programiści Mozilli.