Topic: ext. maligna firefox autoinstallante?

[osvi²]

sta girando voce che esiste un'ext che logga tutto quello che viene digato e lo invia ad un indirozzo IP.
bhe, non ci vuole molto a fare una cosa del genere

il problema è che ho letto essere autoinstallante

confermate? 

[gialloporpora]

Scusa hai il link dove hai letto questa cosa ?
Ciao

[Underpass]

Ragionando: se è un'estensione, dovrebbe essere un file con estensione XPI.

E quindi, se anche non fosse disabilitata l'installazione delle estensioni, dovrebbe almeno dare un messaggio simile:



Siete d'accordo?

[iacchi]

in linea di massima direi di sì. per autoinstallarsi dovrebbe sfruttare un bug di FF; e se così fosse del bug saremmo già entrati a conoscenza

[osvi²]

Normally, Firefox extensions -- which in Windows have the .xpi file extension -- display a confirmation dialog that the user must acknowledge before the add-on installs. The bogus Numberedlinks, however, skips that.

link

ammetto di aver letto poco e velocemente, ma credo di aver capito che se si ha l'ext numberedlinks, questo "trojan" si installa senza la famosa finestra di conferma

edit by miki64: formattato link troppo lungo che sballava il layout orizzontale del thread.

[indigo]

Non sono sicuro che per l'installazione sia obbligatorio quel passaggio..traducendo delle pagine relative su devmo mi pare che vi siano anche altri modi, tipo un inserimento diretto dei file:

http://developer.mozilla.org/it/docs/Impacchettare_l%27Estensione

chiaramente occorrerebbe una vulnerabilità, però in questo modo verrebbe aggirato l'extension manager..

[osvi²]

io credo che quella finestra di conferma sia obbligatoria per installare un estensione..
che senso avrebbe sennò?

[Underpass]

@ indigo: il passo che tu hai citato sembrerebbe riferirsi alla possibilità di creare ad esempio un eseguibile che crei direttamente i file e le directory che servono. Il che comunque presupporrebbe un'avvio della procedura da parte dell'utente.

Piuttosto, l'articolo citato da osvi2 potrebbe davvero indicare la possibilità di bypassare la procedura di installazione dell'estensione da parte di questa "falsa" Numberedlinks 0.9.

[gialloporpora]

Scusate, non so se ho capito bene, però:

he scam starts with spam posing as a message from the billing support department of mega-retailer Wal-Mart, said Craig Schmugar, the virus research manager at McAfee's Avert Labs. "There's an order number in the message, which matches the number of the attachment," said Schmugar. "When someone opens the attachment, the Trojan downloads and installs two components, a keylogger as well as a sniffer." As of Tuesday afternoon, FormSpy had gained little


........
The Trojan writes files directly to the Firefox folders without putting up the confirmation,

a me sembra di capire (forse sbaglio) che non si stia parlando di un'estensione che viene installata mentre Firefox naviga
magari cliccando su un link, ma dopo aver aperto un allegato che fa più o meno quello ha tradotto @indigo, e perciò non
viene chiesta la conferma perché é un copia di file e cartelle sull' HD.

O sbaglio ?

[osvi²]

in questo caso sarebbe una notizia del pari che il mio barbiere ha cambiato il fornitore di lame

anche con explorer è possibile caricare plugin esterni (rigorosamente sotto forma di ddl compilate così non sai neppure cosa fanno) e fare le stesse cose di quest'estensione...

i newser non sanno più cosa scrivere

[jooliaan]

Firefox, arriva l’estensione-trojan

[Underpass]

A questa pagina di MozillaZine

http://www.mozillazine.org/talkback.html?article=12722

C'è un'informazione importante: affinché questa "estensione" sia scaricata, la macchina deve già essere infettata dal virus Downloader-AXM. Quindi, non viene sfruttata alcuna vulnerabilità nel meccanismo di installazione estensioni in Firefox.

Ciao