Trojaans paard vermomt zich als Firefox-extensie

Securitybedrijf McAfee heeft dinsdag een waarschuwing uit doen gaan voor een trojaans paard met de naam FormSpy, dat zich als extensie in Firefox nestelt. Na installatie begint het stukje malware met het verzamelen van allerhande persoonlijke informatie die wordt ingegeven in formulieren op websites. Deze data wordt vervolgens naar een andere website gestuurd; het ip-adres van deze website is hardcoded in de extensie aanwezig. De extensie doet zichzelf voorkomen als legaal en gewenst, doordat hij Numberedlinks 0.9 heet. Dit is namelijk de naam van een bestaande extensie die het mogelijk maakt om via het toetsenbord naar links op webpagina's te navigeren. Naast het delen van de naam in het extensieoverzicht van Firefox, delen Numberedlinks en FormSpy ook delen van de broncode.

Een besmetting met het trojaanse paard kan op twee manieren plaatsvinden. Internetters die de Downloader-AXM-trojan al op hun computer hebben, zouden FormSpy via die applicatie kunnen binnenkrijgen. Ook is de kwaadaardige extensie per e-mail verspreid. Wanneer de Firefox-uitbreiding niet handmatig door de gebruiker wordt geïnstalleerd, wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiëren en in Firefox te registreren. In dit geval wordt de extensie dus zonder medeweten van de pc-gebruiker geïnstalleerd en geactiveerd. Voor de installatie van normale extensies moet namelijk toestemming gegeven worden, of is bij het opstarten van de browser te zien dat de extensie geïnstalleerd wordt.

Nederlands trojaans paard: turfschip van Breda
Nederlands trojaans paard: turfschip van Breda

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 27-07-2006 10:36 52

27-07-2006 • 10:36

52

Bron: McAfee

Lees meer

Trojan steelt wachtwoorden van Firefox-gebruikers
Trojan steelt wachtwoorden van Firefox-gebruikers Nieuws van 5 december 2008
Kwetsbaarheid IE en Firefox kan bestanden blootleggen
Kwetsbaarheid IE en Firefox kan bestanden blootleggen Nieuws van 14 februari 2007
Trojan installeert antivirusprogramma tegen concurrentie
Trojan installeert antivirusprogramma tegen concurrentie Nieuws van 24 oktober 2006
Mozilla-project patcht fouten in Firefox en Thunderbird
Mozilla-project patcht fouten in Firefox en Thunderbird Nieuws van 16 september 2006
Nieuwe trojan verstuurt data via ICMP
Nieuwe trojan verstuurt data via ICMP Nieuws van 10 augustus 2006
Firefox klokt 200 miljoen downloads
Firefox klokt 200 miljoen downloads Nieuws van 1 augustus 2006
Nieuwe update verhelpt ernstige Firefox-fouten
Nieuwe update verhelpt ernstige Firefox-fouten Nieuws van 28 juli 2006
Onderzoeker roept juli uit tot maand van de browserbug
Onderzoeker roept juli uit tot maand van de browserbug Nieuws van 8 juli 2006
'Oude versies software erger dan malware'
'Oude versies software erger dan malware' Nieuws van 21 juni 2006
Grensoverschrijdend Javascript-lek ontdekt
Grensoverschrijdend Javascript-lek ontdekt Nieuws van 7 juni 2006
Proof of concept voor misbruik Firefox-image-bug
Proof of concept voor misbruik Firefox-image-bug Nieuws van 12 mei 2006
Firefox-update verhelpt veiligheidsbugs
Firefox-update verhelpt veiligheidsbugs Nieuws van 15 april 2006
Spyware gebruikt Java: alternatieve browsers kwetsbaar
Spyware gebruikt Java: alternatieve browsers kwetsbaar Nieuws van 19 maart 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (52)

-Moderatie-faq
52
51
31
13
3
7
Wijzig sortering
Adrianb 27 juli 2006 12:23
Het is gevaarlijk, daar niet van, maar welke Firefox gebruiker (lees: iets meer-wetende internetgebruiker) installeert er nu extensions van onbekende sites wanneer Mozilla zelf de meeste extensions op hun eigen server heeft staan?

Als ik een extension tegen kom op het internet ga ik altijd even checken of hij op de officiele pagina staat om ze daar dan te downloaden i.p.v. een onbekende mogelijk schadelijke site.
GoBieN-Be @Adrianb27 juli 2006 14:37
Al goed en wel, dus jij bent dus slim, en installeert het niet. Maar dan wordt getracht IE te launchen naar een bep. pagina waar via een lek in IE dus manueel in het register en de chrome bestanden van firefox die extentie toch wordt toegevoegd.

IE achtervolgt je zelfs nadat je gezworen hebt het nooit meer te gebruiken nog altijd.
Parasietje @Adrianb27 juli 2006 12:55
Inderdaad. IT-level van de gebruiker, van laag naar hoog:

Legende: * at risk voor dit lek ; = safe

= Meuh? Wat is firefox?
= Meuh? Wat zijn extensions?
* He! Een extension! Gemaild in een spam-like e-mail! Installeren die handel!
= Pff, deze extension heb ik niet nodig. Ik gebruik enkel ExtensionX.
= Dit ziet er verdacht uit. Ff googlen.
= Een nieuwe extension! Even in een gecontroleerde VMWare sandbox draaien.

1/6 is dus at risk :+
sanderr 27 juli 2006 11:00
Om te controleren of je besmet bent, kijk even in je registry
Presence of the following registry key(s):

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"stup" = "%Windir%\System32\138762763.exe"
* HKEY_CURRENT_USER\Software\keys
mattgick 27 juli 2006 10:49
Uiteindlijk gaat het hier dus niet om een fout van Firefox, dat een extensie informatie kan versturen lijkt mij opzich geen probleem. Beetje jammer alleen dat het via een lek in IE gedaan wordt. Gebruik je Firefox om van dat IE geklier af te zijn, gaan ze via je brakke IE je Firefox misbruiken. :(

Maar zij het niet voor IE, is het gewoon te vergelijken met spyware die men vrijwillig installeerd :Z
Anoniem: 118226 @mattgick27 juli 2006 11:06
volgens mij is het weldegelijk een lek in firefox. hoe je het ook went of keert, het is dus mogelijk om zonder toestemming van de gebruiker extensions in firefox te installeren. of dit nu via een lek in IE gebeurt maakt niet uit. Firefox moet te allen tijde controleren of de extentions op een legitieme manier geinstalleerd zijn.
Anoniem: 149499 @Anoniem: 11822627 juli 2006 11:45
Inderdaad, de extensies zijn nog steeds niet gesigneerd. Hoewel het mechanisme hiervoor aanwijzig lijkt te zijn, ben ik nog niet een gesigneerde extensie tegengekomen.

Zullen ze nu echter wel haast mee gaan maken denk ik..

Als een gebruiker toch een niet-gesigneerde extensie zou willen installeren zou de gebruiker het bijvoorbeeld zelf kunnen signen. Zulks een mechanisme moet uiteraard wel goed in elkaar zitten, want wat een gebruiker kan kan een virus of trojan in principe ook, zoals maar weer uit het nieuwsbericht blijkt.

Overigens ben ik de laatste tijd vaker pagina's tegengekomen waar ineens IE gelaunched wordt (Error-safe anyone?). M'n virusscanner klaagt (nog) niet maar wat het mechanisme erachter is is mij een raadsel, maar ik vermoed een flash- of javaplugin die mijn 'default' browser weet te starten (ja, IE nog steeds default ookal gebruik ik altijd ff).
The - DDD @Anoniem: 11822627 juli 2006 11:16
Ja, en als jij aangereden wordt door iemand is het ook jou schuld.

FireFox staat inderdaad toe dat je als gebruiker extensies lokaal installeert. Dat IE zich laat overnemen en de rol van gebruiker op zich neemt en dit in jou naam doet is een probleem van IE niet van FireFox lijkt me. IE maakt de benodigde lokale rechten beschikbaar.

Het is nog steeds de schuld van de gebruiker, want die gebruikt IE en gaat daarmee naar de foute pagina waar deze extensie vandaan komt.
Cowboy op zee @The - DDD27 juli 2006 14:43
Wat wil je nou zeggen?
Als er een inhoudelijk punt van kritiek op een veiligheidsaspect van FireFox wordt geleverd reageer je met
Ja, en als jij aangereden wordt door iemand is het ook jou schuld
, om in 1 adem door de schuld voor een exploit door derden van een veiligheidsprobleem in Internet Explorer bij de gebruiker te leggen.
Dus afhankelijk van door wat voor auto je wordt aangereden, is het je eigen schuld of niet?

En ja ik heb gesnapt dat IE de extensie namens de gebruiker heeft geinstalleerd (wat, zoals andere mensen opmerken, 1 van de 3 mogelijke manieren is om geinfecteerd te raken, nog afgezien van het feit dat je je heel prima kunt afvragen of ook Firefox hier misschien een verbeterpunt heeft) en nee, ik ben niet Bill Gates.
Koffie @mattgick27 juli 2006 11:52
Poppedop, denk even na voor je blaat :z
Je kun 'm op 2 manieren krijgen :

- Automatisch geinstalleerd door een andere Trojan
- Automatisch geinstalleerd door een lek in IE
- Handmatige installatie in de veronderstelling dat het een legitieme extentie is

Wat leren we hieruit ? Dat het mogelijk is om een extentie van FF te installeren ZONDER dat je dit als gebruiker merkt, of op geattendeerd word.

IE is dus maar 1 van de 3 mogelijkheden om die trojan ongemerkt in je browser te krijgen.
Parasietje @Koffie27 juli 2006 12:47
Denk nog even verder na :z

Als je lokale schrijf-toegang hebt, dan kan je toch altijd dingen automatisch installeren? Hoe kan een programma controleren of iets buiten zijn rug om geïnstalleerd is? Een klassiek geval van "Wie zal de controleur controleren?".

Wat leren we hieruit? Dat, eenmaal er write-access op een systeem is, alles kan. Beweer niet dat er een fout in Firefox zit. Een programma kan zichzelf niet beschermen tegen veranderingen van buitenaf. Als ik mijn startpagina manueel verander in de config files van Firefox, is dat dan Firefox' schuld? |:(
gfgw @Koffie27 juli 2006 16:41
Poppedop, denk even na voor je blaat
Je kun 'm op 2 manieren krijgen :

- Automatisch geinstalleerd door een andere Trojan
- Automatisch geinstalleerd door een lek in IE
- Handmatige installatie in de veronderstelling dat het een legitieme extentie is
Poppedop, tel even na voor je reageert...
The_DoubleU @mattgick27 juli 2006 11:04
Doen un-install je IE toch?
oooja :(
Dat kan niet.

Ben benieuwd of MS dit lek gaat dichten of dat ze het gewoon laten zitten om Firefox dwars te zitten.
Anoniem: 26235 27 juli 2006 11:20
Wanneer de Firefox-uitbreiding niet handmatig door de gebruiker wordt geïnstalleerd, wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiëren en in Firefox te registreren.
Toch eigenlijk triest dat Internet Explorer zo diep in Windows zit gegraven. En Microsoft maar patchen en patchen i.p.v. het probleem bij de wortel aan te pakken.
Luuk1983 @Anoniem: 2623527 juli 2006 11:32
Uit XP kunnen ze IE niet zomaar even slopen. In Windows Vista draait IE (7) in een sandbox en is dus veel onafhankelijker van het OS.
jvo @Luuk198327 juli 2006 12:39
Van die sandbox wordt het veiliger. IE is niet afhankelijk van het OS, maar het OS is sterk afhankelijk van IE. En dat blijft in Vista vast wel hetzelfde.
Parasietje @Luuk198327 juli 2006 12:49
Ik durf wedden dat Windows Explorer weer keihard van IE-componenten gebruik maakt. Zelfs al draait het in een sandbox, het zou helemaal _NIET_ mogen draaien...
ejay79 @Anoniem: 2623527 juli 2006 11:39
Ik denk al: Het gaat over FF, maar hoe lang zal het duren voordat het over IE gaat... |:(
RSpliet @ejay7927 juli 2006 11:57
Oh, jij had al verwacht dat IE wordt misbruikt om een Firefox extensie te installeren? :+ Lees t nieuwsbericht alvorens te bashen svp.
Anoniem: 173447 @ejay7927 juli 2006 11:54
Als je het artikel goed zou lezen zie je staan:

Wanneer de Firefox-uitbreiding niet handmatig door de gebruiker wordt geïnstalleerd, wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiëren en in Firefox te registreren.

Echt heel gek dat mensen het over IE gaan hebben |:(
increddibelly 27 juli 2006 10:45
Symptoms:
Outgoing HTTP connections bound for the following IP address(es):

81.95.xx.xx
Anoniem: 142370 @increddibelly27 juli 2006 11:07
Netjes gezien, en zoals er op een paar tabs verder staat geeft men aan dat deze trojan verwijderd en gespot wordt wanneer je altijd up-2-date bent....NIet echt iets aan het handje dus....
Aikon 27 juli 2006 11:31
Erg leuk plaatje (en verhaal op wikipedia) erbij :) Weer eens wat anders dan het ouderwetsche paard van Troje.
Anoniem: 92624 27 juli 2006 10:42
Zo zie je maar weer.
Geen enkel IT-product is veilig tegen malware.
hansg @Anoniem: 9262427 juli 2006 12:37
Even voor de duidelijkheid: er zit dus geen gat in Firefox, het komt binnen als je al een besmetting met een andere trojan hebt, of via een gat in _IE_.
merethan @hansg27 juli 2006 23:08
...wordt gebruikgemaakt van een oud lek in Internet Explorer om de bestanden van de extensie naar de juiste locaties te kopiëren en in Firefox te registreren. In dit geval wordt de extensie dus zonder medeweten van de pc-gebruiker geïnstalleerd en geactiveerd...


Dat is denk ik nog nooit voorgekomen :o

Via een lek in de standaard meegeleverde browser de alternatieve veiligere browser voorzien van een backdoor :9

Vervelend technisch vernuft en goed uitgedacht :D
kahm-jai @Anoniem: 9262427 juli 2006 10:45
Zolang iets door mensen gemaakt is bevat het fouten..... zo zou je het ook kunnen bekijken...
(of moet ik zeggen inbraak mogelijkheden)
qapla101 @kahm-jai27 juli 2006 15:55
FF off topic: Als iets door een god is gemaakt, dan bevat het dus geen fouten? :)
Conzales @Anoniem: 9262427 juli 2006 12:42
Zo zie je maar weer.
Geen enkel IT-product is veilig tegen malware.
Is jouw PC's hardeschijf bestand tegen het erop rammen met een hamer. Dat doe jij dan dus als domme gebruiker!

Onzin! Je moet die extensie altijd nog toestemming geven om te installeren (als je deze via FF binnenhaalt). Als je als DOMME gebruiker overal zomaar op ok klikt (of naar toe surft), tja dan kan idd niemand een veilig product maken. Bovendien komt dit dus binnen via een lek in IE. Wie er nu nog zomaar op los surft met IE zonder virusscanner is sowieso dom bezig...
Anoniem: 48989 27 juli 2006 10:53
Vandaag kreeg ik nieuwe updates voor Firefox binnen, geen idee of het iets te maken heeft met dit 'Firefox lek'
FF is nu versie 1.5.0.5

[Edit]
Fries? WTF

Ik heb een engelstalige versie en woon in België. Onwaarschijnlijk dat het iets met Friese ondersteuning te maken heeft
rdoorn @Anoniem: 4898927 juli 2006 11:01
Nee dat is voor de friese versie van Firefox

* Improvements to product stability
* Added changes for Frisian locale (fy-NL)
* Several security fixes
Maurits van Baerle @Anoniem: 4898927 juli 2006 12:20
Het is ook geen update voor de Friese versie, het is een update voor alle talen. Toevallig zit er onder andere een update voor de Friese locale in maar dat maakt het nog geen Friese versie.

Niets om je zorgen over te maken dus, je gebruikt de meest recente en goede versie van Firefox.
increddibelly 27 juli 2006 10:40
een uitzonderlijk smerig technisch hoogstandje :-(
De naam een stukken code van een bestaande extensie misbruiken vind ik een erg smerige truuk.
Ben overigens wel erg benieuwd naar dat IP adres, om m'n router even in te lichten (just in case). Dat is dan weer niet zo handig om hardcoded mee te sturen...
Anoniem: 80466 @increddibelly27 juli 2006 12:19
Stukken code gebruiken is des OSS.
Dat is dus te verwachten.
Het is ook de logische manier om bij FF binnen te komen. Het zal niet al te lang duren voordat diverse sites dergelijke trojan bevattende 'extenties' vermomd als een nuttig tool gaan aanbieden zodra je de site binnen komt.
catfish @increddibelly27 juli 2006 11:30
maar niet echt nieuw
er zijn duizenden virussen die zich voordooen als explorer.exe, wmplayer.exe,...
die dus niet direct opvallen in de taskmanger
Anoniem: 29318 @catfish27 juli 2006 12:53
Dat is dan een process die je "ziet" en kan "killen"

Probeer maar eens een extensie te ontdekken waar je fout in zit..beetje virus scanner kan hier nog wel over heen kijken
pas...(vaak) na een update of 2 zit deze in de pattern file...
Anoniem: 147237 @increddibelly27 juli 2006 14:47
Denk toch wel dat er bij FF een voordeel zit, dat eigenlijk de meeste extensies op 1 centrale plaats worden gesubmit, op de extensiepagina's van mozilla zelf. Er moet gewoon worden aangeleerd dat de andere sites eigenlijk gewoon TABOE moet zijn.
Nuja, gemakkelijk gezegd, in praktijk zal dit voor hardleerse (lees: gemiddelde) gebruikers een moeilijke opgave zijn.
Op de extensie pagina, kan men z'n eigen extensie toevoegen, wanneer er een "malware extensie" ofzoiets wordt toegevoegd, dan kan dat direct worden verwijderd, natuurlijk kan het zijn dat in deze periode er een paar zullen geïnfecteerd zijn, maar deze periode tov een aparte site waar het permanent wordt aangeboden...?
Anoniem: 80466 @Anoniem: 14723728 juli 2006 09:25
Er zullen uiteindelijk steeds meer extensiebouwers komen die een plek zullen willen op de mozilla add-ons pagina.
Wat als ik er adware op wil zetten.
Gaat Mozilla dat dan weigeren ? De definitie van malware zal dan heel belangrijk worden. Voor je het weet heb je als Mozilla een rechtszaak aan je broek omdat je extenties weigert en daarmee oneerlijke concurrentie bevordert tussen de verschillende extentie bouwers.
praseodymium @Anoniem: 14723728 juli 2006 09:42
De extensie wordt door een trojan geinstalleerd, en komt dus niet direct van een website zoals de andere Firefox-extensies die je installeert.
gamepower2005 27 juli 2006 11:33
Op webwereld was hier ook al een bericht over verschenen, maar op de manier waarop zij het brachten zou je denken dat op de site van Mozzilla een Trojan te downloaden was. Dat is dus niet het geval, en maakt het een stuk minder gevaarlijk/erg.
Anoniem: 177275 @gamepower200527 juli 2006 21:47
Precies. Dat is net het verschil. Het systeem/de programmatuur is zo veilig als de gebruiker toestaat.

Je hebt/had ook mensen die van die "mooie" screensavers :r installeerden en zo lekker wat spyware binnenhaalden. De discussie gaat al snel weer over hoe k*t IE is of dat FF toch ook onbetrouwbaar is. Ik denk ook wel dat IE niet de beste keuze is, maar erger dan lekken in IE is de naïviteit van de gebruiker.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq