Trojan zmusza Firefoksa do potajemnego przechowywania haseł

Zamiast śledzić całość danych wprowadzanych z klawiatury, przeanalizowany niedawno przez firmę Webroot robak wykorzystuje fakt, że identyfikatory stron WWW są umieszczone w pamięci haseł przeglądarki WWW

Aby zastać wszystkie interesujące go hasła, wirus ochrzczony mianem Trojan-PWS-Nslog modyfikuje nieco ustawienia Firefoksa: dzięki kilku manipulacjom w należącym do przeglądarki pliku z JavaScriptem nakłania on ją do automatycznego zapisywania danych logowania bez pytania użytkownika o zgodę.

W tym celu robak po prostu deaktywuje funkcję pytania użytkownika o zgodę w pliku nsLoginManagerPrompter.js i dodaje wiersz automatycznego zapisywania. Redakcji heise Security udało się sprawdzić skuteczność tych manipulacji, które przypuszczalnie bazują na znanym już od 200. roku triku.

W normalnej sytuacji Firefox pyta użytkownika, czy ma przechowywać dane; ze względów bezpieczeństwa wielu internautów odpowiada na to pytanie przecząco, ponieważ robaki najpierw zaglądają do pamięci haseł i przesyłają odczytane informacje. Również PWS-Nslog stara się co minutę odczytać dane z pamięci Internet Explorera i Firefoksa oraz przesyłać je do serwera.

Według analiz firmy Webroot autor malware'u nie zadał sobie trudu, by zatrzeć własne ślady. W kodzie robaka znajduje się jego imię wraz z adresem Gmaila. Poza tym eksperci z Webroot szybko odnaleźli na Facebooku stronę rzekomo irańskiego programisty, który twierdzi, że programuje crimeware dla przyjemności.

Uzupełnienie Zagrożone są wszystkie platformy, na których trojan ma prawa do modyfikacji pliku nsLoginManagerPrompter.js. W przeprowadzonych przez nas testach zadziałało to zarówno w systemie Windows XP, Windows 7, jak i Ubuntu 10.04. Warto jednak zauważyć, że w przypadku systemów Windows 7 i Ubuntu, standardowy użytkownik działa z ograniczonymi uprawnieniami, więc "szkodnik" nie może w prosty sposób zmodyfikować wspomnianego pliku bez uciekania się do dodatkowych sztuczek.

wydanie internetowe www.heise-online.pl