jeudi 27 juillet 2006
Des sociétés antivirus signalent une extension de Mozilla Firefox cheval de Troie
Des sociétés antivirus signalent qu’un cheval de Troie qui prend la forme d’une extension de Mozilla Firefox a été repérée dans la nature. Le troyen, que McAfee a baptisé FormSpy et Sophos a surnommé Troj/FireSpy-A, récupère les informations entrées dans le navigateur, y compris, mais non limitées aux mots de passe et aux détails d’opérations bancaires, et les envoie à un ordinateur distant. Le troyen vient avec un exécutable Windows qui peut également enregistrer des mots de passe ICQ, POP3, IMAP et FTP. Dans Firefox, le troyen feint d’être l’extension légitime numberedlinks.
Le troyen FormSpy n’utilise aucune faille de sécurité de Firefox pour infecter les ordinateurs. Au lieu de cela, il est téléchargé et installé automatiquement par un programme Windows malveillant connu sous le nom de Downloader-AXM, qui existe dans le seul but de télécharger et d’exécuter furtivement des chevaux de Troie. Une fois téléchargé par Downloader-AXM, FormSpy s’installe dans Firefox en modifiant directement des fichiers du profil utilisateur de Firefox, outrepassant complètement le mécanisme standard d’installation des extensions Firefox (et les messages d’avertissement).
Pour être infecté par FormSpy de cette façon, un utilisateur doit déjà avoir Downloader-AXM sur son système. Repèré la première fois au début de cette semaine, Downloader-AXM est distribué sous forme d’un exécutable Windows attaché à un courriel frauduleux prétendant être un message de confirmation d’une commande Wal-Mart. Cependant, McAfee indique qu’ils ont également vu des tentatives d’une installation de FormSpy en utilisant l’exploit VBS/Psyme de Microsoft Internet Explorer vieux de 3 ans.
Pour vérifier l’infection, les utilisateurs de Firefox sont invités à examiner leur liste d’extensions installées (accessibles depuis l’item extensions du menu outils). La présence inattendue de « Numbered Links 0.9 » indique une infection possible. Le profil virus McAfee de FormSpy comporte plus d’informations sur les fichiers installés par le troyen. McAfee croit que pour l’instant le nombre d’infections reste faible.
TechWeb a un article sur FormSpy. Dans l’exposé, Craig Schmugar, directeur de recherches antivirus au Avert Labs de McAfee, exprime des inquiétudes sur la facilité avec laquelle le troyen FormSpy peut se camoufler en extension légitime numberedlinks et suggère que les développeurs de Firefox devraient s’y intéresser.
Merci à Roseman et à Juha-Matti Laurio pour certains liens utilisés par cet article.
Rien à voir avec Firefox donc. C’est encore Windows, la passoire.
Les Linuxiens sont peinards!
C’est fort ça ! arriver à contaminer Firefox par ricochet…
Mais comme dit un commentaire sur Mozillazine US : avec un système d’exploitation aussi défaillant que Windows, ils auraient aussi vite fait de remplacer le binaire de Firefox par un cheval de troie…
La seule solution sur cette passoire de Windows, c’est d’installer un anti-virus sérieux (ou de passer à Linux)
C’est bizarre après avoir contaminer le système pourquoi s’embeter à contaminer Firefox?
Parce que les gens utilisent leur navigateur Internet pour faire beaucoup de choses sensibles : Banque, Achats, email.
Avant, il suffisait de trojaner IE, maintenant, il faut aussi trojaner Firefox. Et c’est plus simple en ajoutant une extension qui a directement accès à tout Firefox.