Malware konfiguriert Firefox um

[Christoph]

Zitat:

Ein Schädling manipuliert eine Konfigurationsdatei von Firefox, um Passwörter ausspionieren zu können. Er konfiguriert den Browser so, dass dieser ohne Rückfrage beim Benutzer alle Passwörter speichert, die für Anmeldungen im Web eingegeben werden.

Im Webbroot Threat Blog berichtet Andrew Brandt über ein Trojanisches Pferd namens "Trojan-PWS-Nslog", das auch aktuelle Firefox-Versionen manipulieren kann. Standardmäßig fragt Firefox nach Eingabe eines Passworts auf einer Website, ob der Benutzer das Passwort speichern möchte. Anwender können das Speichern von Passwörtern ganz abschalten, eine Möglichkeit Passwörter ohne Rückfrage zu speichern, sieht der Dialog Einstellungen / Sicherheit in Firefox jedoch nicht vor.

Doch bereits seit geraumer Zeit ist ein Trick bekannt, mit dem genau dies erreicht werden kann. Dazu muss man die Datei "nsLoginManagerPrompter.js" im Programm-Verzeichnis von Firefox, im Unterverzeichnis "components", bearbeiten. Genau das macht auch der vom Sicherheitsunternehmen Webroot entdeckte Schädling. Er fügt unter anderem eine Zeile "pwmgr.addLogin(aLogin);" ein. Dadurch unterbleibt die Nachfrage, der Schädling liest die gespeicherten Passwörter in kurzen Intervallen aus und sendet sie an seinen Herrn und Meister.

Der Schädling kopiert sich mit dem Dateinamen Kernel.exe ins Verzeichnis Windows/system32 und holt sich aus der Registry auch die vom Internet Explorer gespeicherten Passwörter. Er installiert und registriert ferner eine veraltete ActiveX-Komponente namens "Microsoft Internet Transfer Control DLL" (msinet.ocx), um mit seinem Mutterschiff zu kommunizieren. Ferner legt er einen neuen Benutzer namens "Maestro" an.

Die Website, mit der Trojan-PWS-Nslog kommunizieren will, ist bereits dicht gemacht. Der Programmierer hat jedoch in seinem Machwerk genug Spuren hinterlassen, um ihn aufzuspüren. In seinem Facebook-Profil gibt er an, er sei aus dem Iran und programmiere Malware nur so zum Spaß. Er bietet den Quelltext seines Key-Loggers gratis zum Download an.

Die Manipulationen an der Konfigurationsdatei kann man nach Angaben von Andrew Brandt leicht wieder rückgängig machen. Man muss nur eine aktuelle Firefox-Version über die vorhandene installieren. Das Setup-Programm überschreibt dann die manipulierte Fassung.

Damit der Schädling diese Manipulation überhaupt ausführen kann, muss er die nötigen Dateirechte haben. Das ist nur der Fall, wenn der Anwender als Benutzer mit Administratorrechten angemeldet ist. Wer, wie seit Jahren von vielen empfohlen, als eingeschränkter Benutzer im Internet unterwegs ist, bleibt auch in diesem Fall auf der sicheren Seite.

Quelle: http://www.magnus.de/news/malware-al...m-1023349.html

[müllersq]

Zitat:

Zitat von Christoph

...Dazu muss man die Datei "nsLoginManagerPrompter.js" im Programm-Verzeichnis von Firefox, im Unterverzeichnis "components", bearbeiten...

Diese Datei gibts bei mir in diesem Verzeichnis nicht.

[enjoy2]

Zitat:

Unter Windows 7 und Ubuntu arbeitet der Anwender jedoch standardmäßig mit eingeschränkten Rechten, sodass ein Schädling dort ohne weitere Tricks die Datei nicht manipulieren kann.

http://www.heise.de/newsticker/meldu...e-1105911.html

kann mich auf eine Meldung erinnern, die besagte, dass 90% aller Schadsoftware nicht funktioniert, wenn OHNE Admin.-Rechte gearbeitet wird

ja, es ist zeitweise lästig, immer wieder ein Passwort einzugeben, aber es funktioniert ohne Probleme

PS: bevor es im Text unter geht, auch die Passwörter des Internet Explorers werden übertragen

[Christoph]

Da hast Du tweifellos recht, viele User wollen auf diese "Mühe" verzichten, und dann geht´s in die Hose.