Firefox-tilføjelser skjulte trojanere i månedsvis

To udvidelser til Mozillas browser Firefox, som viste sig at gemme på trojanske bagdøre, lå til fri download på den officielle Firefox-hjemmeside i flere måneder.

Mozillas virusscanning af de omkring 5.000 udvidelser, der findes til browseren Firefox, var ikke god nok til at opdage to trojanske bagdøre, som i flere måneder fik lov til at ligge til fri download på den officielle hjemmeside.

I en sikkerhedsadvarsel oplyser Mozilla, at to add-ons eller udvidelser til Firefox har vist sig at indeholde trojanske bagdørsprogrammer.

Mozilla blev i januar gjort opmærksom på, at udvidelsen Master Filer indeholdt en trojaner, efter Master Filer havde ligget på hjemmesiden siden september 2009. Den blev fjernet den 25. januar, men i den mellemliggende periode havde 600 brugere downloaded den inficerede udvidelse.

Tippet om trojaneren i Master Filer fik Mozilla til at udvide virusscanningen med yderligere to scanningsmotorer, som afslørede, at en anden udvidelse, Sothink Web Video Downloader 4.0, ligeledes havde indeholdt en trojansk bagdør.

Den inficerede version af denne udvidelse havde ligget på Firefox' hjemmeside mellem februar og maj 2008 og var blevet downloadet omkring 4.000 gange, oplyser Mozilla.

Efter brugeren havde downloadet de inficerede udvidelser, ville trojanerne inficere pc'en, næste gang Firefox blev startet. Mozilla understreger, at trojanerne ikke forsvinder blot ved at afinstallere de to udvidelser, men skal fjernes med et antivirusprogram.

Ifølge Mozilla er de to trojanere kun distribueret til Windows-udgaven af Firefox.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Hansen

Hvorfor laver folk sådan noget lort?

"...Ifølge Mozilla er de to trojanere kun distribueret til Windows-udgaven af Firefox..." Det kribler i fingrene for at skrive "endnu engang problemer med windows".

  • 0
  • 0
Peter Makholm Blogger

Jeg kan ikke se at dette på nogen måde viser et windowsspecifikt problem. Det burde ikke give store problemer at lave en tilsvarende trojaner der ramte andre systemer end Windows.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hej Peter,

Jeg kan ikke se at dette på nogen måde viser et windowsspecifikt problem. Det burde ikke give store problemer at lave en tilsvarende trojaner der ramte andre systemer end Windows.

Det er vel - som altid - et spørgsmål om knappe resourcer, altså:

Hvordan kan jeg hurtigst muligt med lavet mulig investering kapre flest muligt computere?

  • 0
  • 0
Peter Makholm Blogger

Jo, men det er og bliver ikke et spørgsmål om at trojaner-udviklerne har udnyttet problmer der er indbygget i Windows. Og derfor er Lars Hansens kommentar udtryk for barnagtig anti-microsoft propaganda.

Lad os hæve debatten og sikkerhedsproblemer over niveauet om hvorvidt et problme først udnyttes på Men af Microsofts platforme eller på en Unix-baseret platform. Som Thomas Bundgaard skriver er det underliggende styresysteme inderligt ligegyldigt når den problematiske applikation tillader brugeren at hente plugins der har stort set uhindret adgang til systemet eller bare til applikationen.

Dette er ikke et udtryk for "problemer med windows" som Lars Hansen rent faktisk beskriver det. Det er i højere grad et problem med brugere der ukritisk henter firefox-plugins. Det er et problme med Firefox at den ikke forhindre plugins i at gøre suspekte ting. Det er et problem med Mozilla at der ikke er et stærkt nok kvalitetssikrende lag i deres "AppStore". Det er stort set alt andet end et windows-problem...

Men jo, at trojaneren er målrettet Microsofts kunder handler selvfølgelig om udbredelse. Men det er og bliver ikke problemet med windows.

  • 0
  • 0
Lars Hansen

Først og fremmest så skriver jeg jo at det er noget l*rt at folk programmere disse ting.

Derefter skriver jeg jo bare at det igen er MS som er ramt af en trojan. Kan I finde en som har ramt linux/mac maskinerne?

Der er intet barnagtigt i min kommentar, den er skrevet ud fra min egne erfaringer med support af windows, linux og mac OS'erne. Windows folkene ringer meget oftere end linux/mac folkene gør, det siger min statistik også.

Så for at få det på det rene:

  • Trojaner og lign. er noget fis.
  • MS har ikke bygget deres system ordentligt, ellers ville de trojaner også have været distribueret til Linux/Mac.
  • 0
  • 0
Patrick Moog

Du giver mig et stærkt indtryk af at du ikke læste hvad Jesper Lund Stocholm og Peter Makholm skrev?

Simplificeret: 1: Når brugeren selv giver lov kan Microsoft umuligt sikre imod trojanere, dette gælder ALLE systemer.

2: Grunden til at Windows oftest bliver ramt er at der findes langt flere Windows systemer end der findes Linux / OSX systemer, ergo rammer du flere hvis du skriver en virus til netop windows. Sjovt nok har du heller ikke været i stand til at bruge denne logik på din egen "statistik" omkring support. Kunne det måske også hænge sammen med at i hvert fald Linux brugere oftere er lidt mere ferm med en computer en den gængse Windows bruger?

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hej Patrick,

Sjovt nok har du heller ikke været i stand til at bruge denne logik på din egen "statistik" omkring support. Kunne det måske også hænge sammen med at i hvert fald Linux brugere oftere er lidt mere ferm med en computer en den gængse Windows bruger?

Det tror jeg helt sikkert er tilfældet - altså at "geek-per-PC"-ratio er markant større på Linux-bokse end på Windows-bokse.

Med andre ord: hvis man laver en repræsentativ gruppe af 1000 Windows-brugere og 1000 Linux-brugere og smider en række vira/trojanere/phishing-emails efter dem, så er jeg overbevist om, at der vil være langt den største "penetrationsrate" for Windows-brugerne.

  • 0
  • 0
Niels Peter Kjeldsen

Grunden til at der er flere Windows folk der ringer for at få support, er nok fordi der er væsentlig flere der bruger Windows end andre systemer.

Og det er også derfor at der er skrives virusser og trojanske heste osv. til Windows. Hvorfor ramme 1000 computere hvis man kan ramme 10.000?

Og så mener jeg i øvrigt at det der med om Windows, Linux, MacOs eller BSD er bedst, virker radikalt og ensidigt på mig. Så skal alle vel også køre i Skoda? Eller Honda? Eller FIAT? Og man må kun eje en Ferrari, og ikke en Aston Martin? Eller Maserati? Gab.

  • 0
  • 0
Lars Hansen

1: Det er jo præcist det der er problemet med windows. Brugeren har lov til alt i MS, dette er ikke det samme for Linux/Mac. Min datter har f.eks. lov at lege i hendes home mappe og kun i hendes home mappe. Resten af computeren er offlimit.

2: Linux brugerne er mere ferm og mere påpasseligt, det er sandt. Jeg mener antallet af brugere ligger på 50% win, 40% linux og 10% mac. 8 ud af 10 opkald er fra Windows brugere. Ofte er det vira og lign. der er problemet.

Så det er ikke bare ren luft, beklager :o)

  • 0
  • 0
Venligst Slet Min Bruger

Det er jo præcist det der er problemet med windows. Brugeren har lov til alt i MS, dette er ikke det samme for Linux/Mac. Min datter har f.eks. lov at lege i hendes home mappe og kun i hendes home mappe. Resten af computeren er offlimit.

Det er da ret simpelt at styre med permissions i Windows. Jeg kan dog ikke se, hvad det har med topic at gøre.

Du flytter fokus nu, så at sige.

Er det korrekt, at man også på linux ville kunne smide en trojan ind, hvis brugeren selv accepterede at installere den?

Og er det korrekt at langt de fleste pc-brugere (flere ved windows, færre ved linux) er knapt så skarpe og trykker på hvad som helst, der kommer fra folk de kender?

Jeg kan godt fornemme, at du er glad for linux, men det er uendeligt ligegyldigt for topic.

  • 0
  • 0
Niels Peter Kjeldsen

Brugeren i Windows har de rettigheder de er tildelt, det er vel ikke anderledes end i Linux/Mac.

Jeg har ikke set tal der viser at Linux brugere er mere "ferme" end andre brugere, men jeg forestiller mig at de der anvender Linux er mere interesserede i IT end mange andre. "Andre" kunne så være personer der anvender computere for at løse opgaver der ikke lige har noget med IT at gøre. Ligesom mange kører bil uden at være i stand til at justere og reparere den.

De tal jeg har set, viser at Windows sidder på ca. 90% af desktop markedet. Resten deles så af Mac/Linux/BSD osv.

Mvh.

  • 0
  • 0
Lars Lundin

Det er jo præcist det der er problemet med windows. Brugeren har lov til alt i MS, dette er ikke det samme for Linux/Mac. Min datter har f.eks. lov at lege i hendes home mappe og kun i hendes home mappe. Resten af computeren er offlimit.

Jeg er uenig i logikken: 1) Googler man "local root exploit", ser man at det i mange tilfælde er muligt at opnå administrator-rettigheder, hvis man først har lokal adgang til (Linux-)PCen. Så jeg har ingen vigtige, personlige informationer på computere, hvor andre har adgang/konto. 2) Eftersom mine egne vigtige informationer ligger i $HOME (f.eks. nøgler), så ville det være en ringe trøst at vide at der ikke er root exploits til min PC, for hvis først min egen konto er kompromitteret, så kan det alligevel ikke blive værre.

Konklusionen er at jeg er meget opmærksom på risikoen netop for et angreb, som det der omtales i artiklen - og at jeg også ville være det hvis jeg brugte et hvilket som helst andet styresystem.

  • 0
  • 0
Patrick Moog

Lige præcist, når man bare siger det gælder kun et specifikt operativsystem og jer er sikker i mit eget, snyder man sig selv.

Det kan simpelthen ikke lade sig gøre at lave et (brugbart) OS der er sikret mod at brugeren selv kan give adgang til virus/malware osv.

  • 0
  • 0
Lars Lundin

Og er det korrekt at langt de fleste pc-brugere (flere ved windows, færre ved linux) er knapt så skarpe og trykker på hvad som helst, der kommer fra folk de kender?

Jeg tror godt faktisk de fleste ved at man ikke skal installere "tilfældig software fra nettet".

Og her har Ubuntu-brugere en klar fordel, fordi al deres software hentes og installeres fra een applikation med een liste over software (og det er sikkert det samme for de andre moderne Linux-dsitrbutioner).

Min familie inkluderer to pensionister, som begge bruger Ubuntu, og som har de mest utrolige begynder-problemer. Og alligevel har de ingen problemer med selv at lave sikkerhedsopdateringer og de forstår godt at de ikke skal følge links der kan "opdatere" deres PC.

Omvendt så har jeg en genbo, der som selvstændig erhvervsdrivende er vældig ferm til Windows XP (som han arbejdsmæssigt har låst sig fast til). Og den anden aften hvor han gerne lige ville afspille noget video fra hans nye kamera, så jeg sandelig hvordan han googlede rundt efter et codec og/eller afspiller, og endte med at installere noget fra et-eller-andet-mere-eller-mindre-kendt websted.

Så Windows kulturen med at al mulig tredjepartssoftware fra alle mulige steder er nødvendig, gør helt klart Windows brugere mere sårbare overfor denne type angreb.

  • 0
  • 0
Patrick Moog

Ja sådan har det altid været på Windows og ja det kan nogle gange være et kæmpe problem som du beskriver det. På den anden side er det altså også en kæmpe fordel at der er uendeligt mange applikationer til Windows, der er altid et program der lige kan den der specifikke mærkelige ting som netop du skal bruge.

Desuden lyder Ubuntu måden meget ala Apple måden, hvordan får du som udvikler lov til at tilføje noget på den liste? Kan man ikke også installere apps uden at de er fra den liste, har svært ved at forestille mig at man ikke kan? :)

  • 0
  • 0
Peter Makholm Blogger

Lige i den aktuelle diskussion hvor der er tale om download af firefox-extensions fra Mozillas eget katalog af udvidelser, så tror jeg ikke at Linux-brugere er specielt påpasselige i forhold til Microsoftbrugere.

Derfor vil jeg stadigvæk fastholde at de omtalte trojanere lige så vel kunne have ramt Linux-brugere. At payload er rettet mod Microsofts systemer opfatter jeg nærmere inkompetent end egentligt målrettet. De har sikkert fundet en tredjeparts payload og kun selv indlejret den i en Firefox-extension.

At en Firefox-extenion ikke bliver udført med root-rettigheder er underordnet. Sammenfaldet mellem ting det kunen være kritisk at en trojaner fik adgang til og ting min bruger har læse/skrive-adgang til er næsten totalt sammenfaldende.

Jeg tror at det er de færreste linux-brugere der reelt har ordentlig adskilte brugere til almindelig websurf, nethandel, netbanking, email og anden computerbrug. Jeg har hørt flere tale om at man burde adskille det, men reelt tror jeg ikke der er mange der gør det.

  • 0
  • 0
Lars Lundin

Desuden lyder Ubuntu måden meget ala Apple måden, hvordan får du som udvikler lov til at tilføje noget på den liste? Kan man ikke også installere apps uden at de er fra den liste, har svært ved at forestille mig at man ikke kan? :)

Lad dig ikke narre af den umiddelbare lighed mellem de to.

Med Ubuntu (retteligt Debian), er din "app store" en liste over software distributører som du stoler på. Og hvis du beslutter dig for at du stoler på en distributør X, så tilføjer du X til din liste af distributører, og så er software og opdateringer fra X integreret i din app store (som Ubuntu kalder Software Center).

Så hvis man som udvikler kan håndtere Debians pakkeformat, så er der ingen yderligere begrænsninger i distributionen.

Eksempler på X er medibuntu.org (diverse ufri software, f.eks. deCSS) og Personal Package Archive, se f.eks. https://help.launchpad.net/Packaging/PPA

Med sudo kan du selvfølgelig altid manuelt kopiere filer til /usr/bin osv. - men så har du ikke længere den relative sikkerhed for et stabilt system, som en gennemtestet Linux distribution giver.

  • 0
  • 0
Michael Degn

Selvfølgelig kan trojanske heste og anden malware også installeres på en Linux maskine, såfremt brugeren absolut vil installere det. Men i dette tilfælde er der en helt åbenlys årsag til at Linux ikke bliver inficeret, og det handler jo igen om rettigheder, som Lars er inde på. De fleste ved sikkert, at tilføjelser i Firefox ikke kræver root rettigheder at installere. Dermed er der kun funktionalitet i userspace, og altså vil en trojansk hest ikke kunne afvikle noget som helst, idet den slet ikke kan fungere.

Skulle den trojanske hest have en chance ville det kræve at brugeren skulle indtaste sit root password i forbindelse med installationen - og her burde alarmklokkerne så ringe!

Nok er sikkerheden i Windows blevet bedre, men der er stadig huller som kan udnyttes uden brugerens viden eller medvirken. Det samme er ikke tilfældet i Linux og BSD.

  • 0
  • 0
Peter Kruse

Hmm, måske har der været en procedure fejl hos Mozilla, men efter at have analyseret "sothink_web_video_downloader_for_firefox-4.0-fx.xpi", som er en af de to add-ons der skulle være skadelige, så er min konklusion, at den er ren, og at der er tale om en decideret falsk positiv.

Derimod er der ingen tvivl om at "master_filer-0.2-fx-win.xpi" er ledsaget af en Bifrose RAT.

Venligst Peter

  • 0
  • 0
Niels Peter Kjeldsen

Michael Degn skriver:

"Nok er sikkerheden i Windows blevet bedre, men der er stadig huller som kan udnyttes uden brugerens viden eller medvirken. Det samme er ikke tilfældet i Linux og BSD".

Jeg vil gerne se dokumentation for at Linux og BSD ikke kan angribes?

Der findes ikke systemer uden huller. Der findes systemer som er mindre udsat for angreb, simpelthen fordi det er mere givtigt at angribe Windows.

  • 0
  • 0
Michael Degn

Det er selvfølgelig ikke noget som kan dokumenteres, men det kan derimod påvises med en vis sandsynlighed.

I Windows er det en velkendt sag, at IE har huller som kan udnyttes (de seneste bliver vist lappet med næste MS opdatering). Dette kan ske uden brugerens viden. Nu var det så Firefox som fik installeret en trojansk hest.

Det samme er bare ikke tilfældet med Linux. Det var i den kontekst, jeg skrev.

Nu er det vel sådan at alle systemer kan angribes - det vil så bare være forskellig om man får succes eller ej. Du har ret i, at der ikke findes systemer uden huller. Statistisk set er der mange huller i Linux, men de er enten godt skjult eller svære at udnytte.

  • 0
  • 0
Log ind eller Opret konto for at kommentere