129738

Spyware tarnt sich als Firefox-Erweiterung

26.07.2006 | 16:45 Uhr |

Ein Form-Grabber installiert sich in Firefox und protokolliert Eingaben des Anwenders auf Web-Seiten.

Der Antivirus-Hersteller McAfee hat die Entdeckung eines Schädlings gemeldet, der als Erweiterung in Firefox installiert wird. Das als "Formspy" bezeichnete Spionageprogramm protokolliert dabei Daten, die Anwender in Web-Formulare eingeben, etwa beim Online-Banking oder in Web-Shops.

In Spam-artig verbreiteten Mails, die vorgeblich von der Warenhaus-Kette Walmart kommen, wird ein Trojanisches Pferd namens " Downloader-AXM " als Anhang mitgeschickt. Dabei handelt es sich um einen Downloader, der Formspy aus dem Internet herunter lädt und installiert. Formspy gibt sich als die Firefox-Erweiterung " Numberedlinks 0.9 " aus, deren Code es teilweise verwendet, um sich in Firefox einzuklinken.

Normalerweise werden Firefox-Erweiterungen über XPI-Dateien installiert, die im Grunde nur ZIP-Archive darstellen. Der Benutzer wird vor der Installation zur Bestätigung aufgefordert. Bei der Installation von Formspy wird diese Abfrage umgangen, indem die Konfiguration von Firefox direkt manipuliert wird.

Nach Angaben von Symantec installiert dieser Downloader auch eine neuere Version des Haxdoor-Rootkits, die von Symantec als " Backdoor.Haxdoor.O " bezeichnet wird. Ferner wird ein Key-Logger installiert, der Tastatureingaben protokolliert und Passwörter bei ICQ-, FTP- und Mail-Transfers ausspioniert. Diese meldet er per Mail an eine voreingestellte Adresse.

Mit der zunehmenden Popularität von Firefox als Alternative zum Internet Explorer war es nur eine Frage der Zeit, bis sich die Malware-Programmierer auch intensiver mit Firefox befassen und Wege finden würden, auch dessen Anwendern Spyware unterzuschieben.

Sicherheits-Update für Firefox 1.5 verfügbar (PC-WELT Online, 26.07.2006)

0 Kommentare zu diesem Artikel
129738