WCM Forum - Malware konfiguriert Firefox um

Zitat:

Ein Schädling manipuliert eine Konfigurationsdatei von Firefox, um Passwörter ausspionieren zu können. Er konfiguriert den Browser so, dass dieser ohne Rückfrage beim Benutzer alle Passwörter speichert, die für Anmeldungen im Web eingegeben werden.

Im Webbroot Threat Blog berichtet Andrew Brandt über ein Trojanisches Pferd namens "Trojan-PWS-Nslog", das auch aktuelle Firefox-Versionen manipulieren kann. Standardmäßig fragt Firefox nach Eingabe eines Passworts auf einer Website, ob der Benutzer das Passwort speichern möchte. Anwender können das Speichern von Passwörtern ganz abschalten, eine Möglichkeit Passwörter ohne Rückfrage zu speichern, sieht der Dialog Einstellungen / Sicherheit in Firefox jedoch nicht vor.

Doch bereits seit geraumer Zeit ist ein Trick bekannt, mit dem genau dies erreicht werden kann. Dazu muss man die Datei "nsLoginManagerPrompter.js" im Programm-Verzeichnis von Firefox, im Unterverzeichnis "components", bearbeiten. Genau das macht auch der vom Sicherheitsunternehmen Webroot entdeckte Schädling. Er fügt unter anderem eine Zeile "pwmgr.addLogin(aLogin);" ein. Dadurch unterbleibt die Nachfrage, der Schädling liest die gespeicherten Passwörter in kurzen Intervallen aus und sendet sie an seinen Herrn und Meister.

Der Schädling kopiert sich mit dem Dateinamen Kernel.exe ins Verzeichnis Windows/system32 und holt sich aus der Registry auch die vom Internet Explorer gespeicherten Passwörter. Er installiert und registriert ferner eine veraltete ActiveX-Komponente namens "Microsoft Internet Transfer Control DLL" (msinet.ocx), um mit seinem Mutterschiff zu kommunizieren. Ferner legt er einen neuen Benutzer namens "Maestro" an.

Die Website, mit der Trojan-PWS-Nslog kommunizieren will, ist bereits dicht gemacht. Der Programmierer hat jedoch in seinem Machwerk genug Spuren hinterlassen, um ihn aufzuspüren. In seinem Facebook-Profil gibt er an, er sei aus dem Iran und programmiere Malware nur so zum Spaß. Er bietet den Quelltext seines Key-Loggers gratis zum Download an.

Die Manipulationen an der Konfigurationsdatei kann man nach Angaben von Andrew Brandt leicht wieder rückgängig machen. Man muss nur eine aktuelle Firefox-Version über die vorhandene installieren. Das Setup-Programm überschreibt dann die manipulierte Fassung.

Damit der Schädling diese Manipulation überhaupt ausführen kann, muss er die nötigen Dateirechte haben. Das ist nur der Fall, wenn der Anwender als Benutzer mit Administratorrechten angemeldet ist. Wer, wie seit Jahren von vielen empfohlen, als eingeschränkter Benutzer im Internet unterwegs ist, bleibt auch in diesem Fall auf der sicheren Seite.

Quelle: http://www.magnus.de/news/malware-al...m-1023349.html