悪意ある Firefox プラグイン
Mozilla Security Blog の Malicious Firefox Plugin より。
問題
本物の人気ある Firefox プラグインになりすました悪意あるソフトウェアが感染を広げています。Trojan.PWS.ChromeInject.A は銀行やその他のサイトからユーザのパスワードを収集し、リモートサーバに転送します。
影響範囲
もしユーザがこのプラグインを騙されてインストールさせられたり、もし別の脆弱性を通してインストールされてしまった場合、それはパスワードとユーザのアカウントを漏洩するでしょう。このトロイの木馬は Greasemonkey の内部 ID のいくつかを使っていますが、 Greasemonkey ではありません。
状態
コンピュータが感染しているかどうかを確認するには、Firefox の「ツール」メニューから「アドオン」を選び、「プラグイン」リストから "Basic Example Plugin for Mozilla" を探してください。次にプラグインを選択してください。もしそのプラグインが見つかったら、それを無効にしてください。
Johnathan Nightingale はこれについて以下のブログ記事を投稿しています: http://blog.johnath.com/2008/12/08/firefox-malware/
クレジット
この問題は BitDefender によって現実の世界 *1 で特定されました。彼らの分析は以下のとおりです: http://www.bitdefender.com/VIRUS-1000451-en–Trojan.PWS.ChromeInject.B.html
Johnathan Nightingale のブログ記事にスクリーンショットを見ると、このトロイの木馬は拡張機能ではなくプラグインのようだ。
Johnathan Nightingale の Firefox Malware? から
先週胸くそが悪くなるような出来事が起こりました。誰かが Firefox に感染するマルウェア (悪意あるソフトウェア) を書いたのです。我々はこのようなことは一切好みませんが、私は少なくとも何が起こり何が起こっていないかをはっきりさせたいと思います。世の中では混乱がおこっていますから。
何が起こっているのか?
最後には隠された積荷を積んでいることが明らかになる *2 ソフトウェアをダウンロードさせインストールさせようとする悪質な人間は、基本的にソフトウェアが存在しているのと同じ時間だけ、世の中に存在しています。セキュリティ専門家は様々な種類を表現するために「ウィルス」や「トロイの木馬」、「ワーム」、「マルウェア」といった言葉を使いますが、肝心なのは人を騙して悪質なプログラムを実行させることができれば、そいつらは悪質な事をできるということです。
今回の場合、ハードディスクが消去させられたり全てのアイコンが逆さまになるかわりに、この特定のくそったれは Firefox を弄ぶことに決めたのです。一度そのプログラムが実行されると、そいつはFirefox に接続しユーザ名とパスワードを盗み見ることができる時にあなたが特定のサイトを訪れるの待ちます。
それに感染しているか確認するにはどうすれば良いか?
Firefox のアドオンマネージャを開き (ツール→アドオン)、「プラグイン」セクションに行ってください。「Basic Example Plugin for Mozilla」という名前のプラグインがあれば、それを無効にすべきです。
オリジナルクレジット: TrustDefender Labs のこの問題に関する ブログの投稿これは Firerfox が安全でないことを意味するのか?
いいえ。なぜなら:
- この特定のマルウェアは我々のプログラムを標的にしましたが、一度システム上で悪意あるソフトウェアが実行されれば、簡単に他のプログラムを攻撃したり他の方法でコンピュータを害することができます。
- これは Firefox 3 で Web をブラウジングしただけでは感染しません。事実 Firefox 3 のマルウェア保護機能は特にコンピュータを攻撃する可能性のあるサイトから保護するように設計されています。
感染している人々は、内部にマルウェアを隠した魅力的なファイルをダウンロードした (これは Firefox 3 がダウンロードしたいかなるファイルもダウンロードする度にコンピュータのウィルススキャナに渡している理由です) か、いくつかのサイトが報告しているように、過去にコンピュータが感染しており、このファイルを強制的にダウンロードさせられたかのどちらかです。
信用しないサイトからソフトウェアをダウンロードすることを避ける典型的な Firefox 3 ユーザはこれを見ることとは無縁です。そしてこの問題を報告しているサイトさえも、この発生率を「まれ」と表現しています。