Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties
Bron: McAfee

Securitybedrijf McAfee heeft dinsdag een waarschuwing uit doen gaan voor een trojaans paard met de naam FormSpy, dat zich als extensie in Firefox nestelt. Na installatie begint het stukje malware met het verzamelen van allerhande persoonlijke informatie die wordt ingegeven in formulieren op websites. Deze data wordt vervolgens naar een andere website gestuurd; het ip-adres van deze website is hardcoded in de extensie aanwezig. De extensie doet zichzelf voorkomen als legaal en gewenst, doordat hij Numberedlinks 0.9 heet. Dit is namelijk de naam van een bestaande extensie die het mogelijk maakt om via het toetsenbord naar links op webpagina's te navigeren. Naast het delen van de naam in het extensieoverzicht van Firefox, delen Numberedlinks en FormSpy ook delen van de broncode.

Een besmetting met het trojaanse paard kan op twee manieren plaatsvinden. Internetters die de Downloader-AXM-trojan al op hun computer hebben, zouden FormSpy via die applicatie kunnen binnenkrijgen. Ook is de kwaadaardige extensie per e-mail verspreid. Wanneer de Firefox-uitbreiding niet handmatig door de gebruiker wordt ge´nstalleerd, wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiŰren en in Firefox te registreren. In dit geval wordt de extensie dus zonder medeweten van de pc-gebruiker ge´nstalleerd en geactiveerd. Voor de installatie van normale extensies moet namelijk toestemming gegeven worden, of is bij het opstarten van de browser te zien dat de extensie ge´nstalleerd wordt.

Nederlands trojaans paard: turfschip van Breda
Nederlands trojaans paard: turfschip van Breda
Moderatie-faq Wijzig weergave

Reacties (52)

Het is gevaarlijk, daar niet van, maar welke Firefox gebruiker (lees: iets meer-wetende internetgebruiker) installeert er nu extensions van onbekende sites wanneer Mozilla zelf de meeste extensions op hun eigen server heeft staan?

Als ik een extension tegen kom op het internet ga ik altijd even checken of hij op de officiele pagina staat om ze daar dan te downloaden i.p.v. een onbekende mogelijk schadelijke site.
Al goed en wel, dus jij bent dus slim, en installeert het niet. Maar dan wordt getracht IE te launchen naar een bep. pagina waar via een lek in IE dus manueel in het register en de chrome bestanden van firefox die extentie toch wordt toegevoegd.

IE achtervolgt je zelfs nadat je gezworen hebt het nooit meer te gebruiken nog altijd.
Inderdaad. IT-level van de gebruiker, van laag naar hoog:

Legende: * at risk voor dit lek ; = safe

= Meuh? Wat is firefox?
= Meuh? Wat zijn extensions?
* He! Een extension! Gemaild in een spam-like e-mail! Installeren die handel!
= Pff, deze extension heb ik niet nodig. Ik gebruik enkel ExtensionX.
= Dit ziet er verdacht uit. Ff googlen.
= Een nieuwe extension! Even in een gecontroleerde VMWare sandbox draaien.

1/6 is dus at risk :+
Om te controleren of je besmet bent, kijk even in je registry
Presence of the following registry key(s):

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"stup" = "%Windir%\System32\138762763.exe"
* HKEY_CURRENT_USER\Software\keys
Uiteindlijk gaat het hier dus niet om een fout van Firefox, dat een extensie informatie kan versturen lijkt mij opzich geen probleem. Beetje jammer alleen dat het via een lek in IE gedaan wordt. Gebruik je Firefox om van dat IE geklier af te zijn, gaan ze via je brakke IE je Firefox misbruiken. :(

Maar zij het niet voor IE, is het gewoon te vergelijken met spyware die men vrijwillig installeerd :Z
volgens mij is het weldegelijk een lek in firefox. hoe je het ook went of keert, het is dus mogelijk om zonder toestemming van de gebruiker extensions in firefox te installeren. of dit nu via een lek in IE gebeurt maakt niet uit. Firefox moet te allen tijde controleren of de extentions op een legitieme manier geinstalleerd zijn.
Inderdaad, de extensies zijn nog steeds niet gesigneerd. Hoewel het mechanisme hiervoor aanwijzig lijkt te zijn, ben ik nog niet een gesigneerde extensie tegengekomen.

Zullen ze nu echter wel haast mee gaan maken denk ik..

Als een gebruiker toch een niet-gesigneerde extensie zou willen installeren zou de gebruiker het bijvoorbeeld zelf kunnen signen. Zulks een mechanisme moet uiteraard wel goed in elkaar zitten, want wat een gebruiker kan kan een virus of trojan in principe ook, zoals maar weer uit het nieuwsbericht blijkt.

Overigens ben ik de laatste tijd vaker pagina's tegengekomen waar ineens IE gelaunched wordt (Error-safe anyone?). M'n virusscanner klaagt (nog) niet maar wat het mechanisme erachter is is mij een raadsel, maar ik vermoed een flash- of javaplugin die mijn 'default' browser weet te starten (ja, IE nog steeds default ookal gebruik ik altijd ff).
Ja, en als jij aangereden wordt door iemand is het ook jou schuld.

FireFox staat inderdaad toe dat je als gebruiker extensies lokaal installeert. Dat IE zich laat overnemen en de rol van gebruiker op zich neemt en dit in jou naam doet is een probleem van IE niet van FireFox lijkt me. IE maakt de benodigde lokale rechten beschikbaar.

Het is nog steeds de schuld van de gebruiker, want die gebruikt IE en gaat daarmee naar de foute pagina waar deze extensie vandaan komt.
Wat wil je nou zeggen?
Als er een inhoudelijk punt van kritiek op een veiligheidsaspect van FireFox wordt geleverd reageer je met
Ja, en als jij aangereden wordt door iemand is het ook jou schuld
, om in 1 adem door de schuld voor een exploit door derden van een veiligheidsprobleem in Internet Explorer bij de gebruiker te leggen.
Dus afhankelijk van door wat voor auto je wordt aangereden, is het je eigen schuld of niet?

En ja ik heb gesnapt dat IE de extensie namens de gebruiker heeft geinstalleerd (wat, zoals andere mensen opmerken, 1 van de 3 mogelijke manieren is om geinfecteerd te raken, nog afgezien van het feit dat je je heel prima kunt afvragen of ook Firefox hier misschien een verbeterpunt heeft) en nee, ik ben niet Bill Gates.
Poppedop, denk even na voor je blaat :z
Je kun 'm op 2 manieren krijgen :

- Automatisch geinstalleerd door een andere Trojan
- Automatisch geinstalleerd door een lek in IE
- Handmatige installatie in de veronderstelling dat het een legitieme extentie is

Wat leren we hieruit ? Dat het mogelijk is om een extentie van FF te installeren ZONDER dat je dit als gebruiker merkt, of op geattendeerd word.

IE is dus maar 1 van de 3 mogelijkheden om die trojan ongemerkt in je browser te krijgen.
Denk nog even verder na :z

Als je lokale schrijf-toegang hebt, dan kan je toch altijd dingen automatisch installeren? Hoe kan een programma controleren of iets buiten zijn rug om ge´nstalleerd is? Een klassiek geval van "Wie zal de controleur controleren?".

Wat leren we hieruit? Dat, eenmaal er write-access op een systeem is, alles kan. Beweer niet dat er een fout in Firefox zit. Een programma kan zichzelf niet beschermen tegen veranderingen van buitenaf. Als ik mijn startpagina manueel verander in de config files van Firefox, is dat dan Firefox' schuld? |:(
Poppedop, denk even na voor je blaat
Je kun 'm op 2 manieren krijgen :

- Automatisch geinstalleerd door een andere Trojan
- Automatisch geinstalleerd door een lek in IE
- Handmatige installatie in de veronderstelling dat het een legitieme extentie is
Poppedop, tel even na voor je reageert...
Doen un-install je IE toch?
oooja :(
Dat kan niet.

Ben benieuwd of MS dit lek gaat dichten of dat ze het gewoon laten zitten om Firefox dwars te zitten.
Wanneer de Firefox-uitbreiding niet handmatig door de gebruiker wordt ge´nstalleerd, wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiŰren en in Firefox te registreren.
Toch eigenlijk triest dat Internet Explorer zo diep in Windows zit gegraven. En Microsoft maar patchen en patchen i.p.v. het probleem bij de wortel aan te pakken.
Uit XP kunnen ze IE niet zomaar even slopen. In Windows Vista draait IE (7) in een sandbox en is dus veel onafhankelijker van het OS.
Van die sandbox wordt het veiliger. IE is niet afhankelijk van het OS, maar het OS is sterk afhankelijk van IE. En dat blijft in Vista vast wel hetzelfde.
Ik durf wedden dat Windows Explorer weer keihard van IE-componenten gebruik maakt. Zelfs al draait het in een sandbox, het zou helemaal _NIET_ mogen draaien...
Ik denk al: Het gaat over FF, maar hoe lang zal het duren voordat het over IE gaat... |:(
Oh, jij had al verwacht dat IE wordt misbruikt om een Firefox extensie te installeren? :+ Lees t nieuwsbericht alvorens te bashen svp.
Als je het artikel goed zou lezen zie je staan:

Wanneer de Firefox-uitbreiding niet handmatig door de gebruiker wordt ge´nstalleerd, wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiŰren en in Firefox te registreren.

Echt heel gek dat mensen het over IE gaan hebben |:(
Symptoms:
Outgoing HTTP connections bound for the following IP address(es):

81.95.xx.xx
Netjes gezien, en zoals er op een paar tabs verder staat geeft men aan dat deze trojan verwijderd en gespot wordt wanneer je altijd up-2-date bent....NIet echt iets aan het handje dus....
Erg leuk plaatje (en verhaal op wikipedia) erbij :) Weer eens wat anders dan het ouderwetsche paard van Troje.
Zo zie je maar weer.
Geen enkel IT-product is veilig tegen malware.
Even voor de duidelijkheid: er zit dus geen gat in Firefox, het komt binnen als je al een besmetting met een andere trojan hebt, of via een gat in _IE_.
...wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiŰren en in Firefox te registreren. In dit geval wordt de extensie dus zonder medeweten van de pc-gebruiker ge´nstalleerd en geactiveerd...


Dat is denk ik nog nooit voorgekomen :o

Via een lek in de standaard meegeleverde browser de alternatieve veiligere browser voorzien van een backdoor :9

Vervelend technisch vernuft en goed uitgedacht :D
Zolang iets door mensen gemaakt is bevat het fouten..... zo zou je het ook kunnen bekijken...
(of moet ik zeggen inbraak mogelijkheden)
FF off topic: Als iets door een god is gemaakt, dan bevat het dus geen fouten? :)
Zo zie je maar weer.
Geen enkel IT-product is veilig tegen malware.
Is jouw PC's hardeschijf bestand tegen het erop rammen met een hamer. Dat doe jij dan dus als domme gebruiker!

Onzin! Je moet die extensie altijd nog toestemming geven om te installeren (als je deze via FF binnenhaalt). Als je als DOMME gebruiker overal zomaar op ok klikt (of naar toe surft), tja dan kan idd niemand een veilig product maken. Bovendien komt dit dus binnen via een lek in IE. Wie er nu nog zomaar op los surft met IE zonder virusscanner is sowieso dom bezig...
een uitzonderlijk smerig technisch hoogstandje :-(
De naam een stukken code van een bestaande extensie misbruiken vind ik een erg smerige truuk.
Ben overigens wel erg benieuwd naar dat IP adres, om m'n router even in te lichten (just in case). Dat is dan weer niet zo handig om hardcoded mee te sturen...
Denk toch wel dat er bij FF een voordeel zit, dat eigenlijk de meeste extensies op 1 centrale plaats worden gesubmit, op de extensiepagina's van mozilla zelf. Er moet gewoon worden aangeleerd dat de andere sites eigenlijk gewoon TABOE moet zijn.
Nuja, gemakkelijk gezegd, in praktijk zal dit voor hardleerse (lees: gemiddelde) gebruikers een moeilijke opgave zijn.
Op de extensie pagina, kan men z'n eigen extensie toevoegen, wanneer er een "malware extensie" ofzoiets wordt toegevoegd, dan kan dat direct worden verwijderd, natuurlijk kan het zijn dat in deze periode er een paar zullen ge´nfecteerd zijn, maar deze periode tov een aparte site waar het permanent wordt aangeboden...?
Er zullen uiteindelijk steeds meer extensiebouwers komen die een plek zullen willen op de mozilla add-ons pagina.
Wat als ik er adware op wil zetten.
Gaat Mozilla dat dan weigeren ? De definitie van malware zal dan heel belangrijk worden. Voor je het weet heb je als Mozilla een rechtszaak aan je broek omdat je extenties weigert en daarmee oneerlijke concurrentie bevordert tussen de verschillende extentie bouwers.
De extensie wordt door een trojan geinstalleerd, en komt dus niet direct van een website zoals de andere Firefox-extensies die je installeert.
Stukken code gebruiken is des OSS.
Dat is dus te verwachten.
Het is ook de logische manier om bij FF binnen te komen. Het zal niet al te lang duren voordat diverse sites dergelijke trojan bevattende 'extenties' vermomd als een nuttig tool gaan aanbieden zodra je de site binnen komt.
maar niet echt nieuw
er zijn duizenden virussen die zich voordooen als explorer.exe, wmplayer.exe,...
die dus niet direct opvallen in de taskmanger
Dat is dan een process die je "ziet" en kan "killen"

Probeer maar eens een extensie te ontdekken waar je fout in zit..beetje virus scanner kan hier nog wel over heen kijken
pas...(vaak) na een update of 2 zit deze in de pattern file...
Vandaag kreeg ik nieuwe updates voor Firefox binnen, geen idee of het iets te maken heeft met dit 'Firefox lek'
FF is nu versie 1.5.0.5

[Edit]
Fries? WTF

Ik heb een engelstalige versie en woon in BelgiŰ. Onwaarschijnlijk dat het iets met Friese ondersteuning te maken heeft
Nee dat is voor de friese versie van Firefox

* Improvements to product stability
* Added changes for Frisian locale (fy-NL)
* Several security fixes
Het is ook geen update voor de Friese versie, het is een update voor alle talen. Toevallig zit er onder andere een update voor de Friese locale in maar dat maakt het nog geen Friese versie.

Niets om je zorgen over te maken dus, je gebruikt de meest recente en goede versie van Firefox.
Op webwereld was hier ook al een bericht over verschenen, maar op de manier waarop zij het brachten zou je denken dat op de site van Mozzilla een Trojan te downloaden was. Dat is dus niet het geval, en maakt het een stuk minder gevaarlijk/erg.
Precies. Dat is net het verschil. Het systeem/de programmatuur is zo veilig als de gebruiker toestaat.

Je hebt/had ook mensen die van die "mooie" screensavers :r installeerden en zo lekker wat spyware binnenhaalden. De discussie gaat al snel weer over hoe k*t IE is of dat FF toch ook onbetrouwbaar is. Ik denk ook wel dat IE niet de beste keuze is, maar erger dan lekken in IE is de na´viteit van de gebruiker.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True