Maskeret malware installeret på 12.500 Firefox-browsere

Et stykke ondsindet kode maskerede sig som et legitimt tilføjelsesprogram til Firefox og begyndte at bruge den inficerede maskine til at støvsuge nettet for SQL-sårbarheder. Mozilla har nu blacklistet den ondsindede kode, men malwaren er allerede installeret på mere end 12.500 klienter.

Sofistikeret malware, der af ukendte gerningsmænd kaldes ‘Advanced Power’, hærger i øjeblikket nettet ved at sende såkaldte SQL-injections på samtlige sider, en inficeret maskine besøger. Det har it-sikkerhedsbloggeren Brian Krebs fundet ud af.

Ifølge hans oplysninger skulle mere end 12.500 browsere allerede være overtaget af den skadelige kode, der angiveligt har hærget siden maj måned. Ifølge Brian Krebs har programmet indtil videre identificeret 1800 sårbare hjemmesider.

SQL-injections er kommandoer til et websites database, der foretages via login-formularer og andre indlejrede kanaler til databasen, som er nødvendige for at kommunikere med brugeren. Nogle websider er ikke ordentlig beskyttet mod at hackere kan afvikle regulær kode i disse felter, hvilket kan give dem kontrol over databasen.

Samtidig kommunikerer malwaren med andre inficerede klienter og bruger dem, som et distribueret netværk til at scanne internettet for websider med svagheder over for SQL-injections. Sådanne netværk kaldes også ‘botnet’

Firmaet bag Firefox var hurtige til at reagere, og Mozilla har officielt meldt ud, at malwaren, der præsenterede sig selv som en legitim tilføjelse til den populære browser, nu er blevet blokeret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Gundtofte-Bruun

Fra artiklen der linkes til:
"On infected systems with Mozilla Firefox installed, the bot code installs a browser plugin called “Microsoft .NET Framework Assistant” (this bogus add-on does not appear to be the same thing as this[hyperlink] add-on by the same name)."

Så hvis man IKKE har dette plugin, er man sikker. Hvis man HAR dette plugin, skal man undersøge nærmere for at vide om man er sikker eller ej.

  • 1
  • 0
Tine Müller

Måske er det dette som har ramt min computer/mine domæner på shared host Gigahost, men har svært ved at finde ud af dette. Under Extensions i Firefox 26.0 er Microsoft.NET Framework Assistant 0.0.0 (diabled), men skaden kan vel godt være sket forinden?

Ved et tilfælde opdagede jeg selv en php-fil med et mærkeligt navn og har så haft en længere mailudveksling med Gigahost og Drupal group https://drupal.org/node/2153055 samt brugt hele julen til at finde hackeren og hvad skade denne person har lavet. Mine sider fungerer heldigvis OK, men kan ikke gennemskue hvad denne hacker har af glæde af at uploade alle disse php-filer og fortsætter detektivarbejdet. Disse filer har ligget på alle mine domæner/underdomæner hele 2013.

Er igang med at større sletningsarbejde af sider der ikke er i brug og opdatering m.m., men ville jo godt vide hvad denne idiot bruger mine domæner til, men det får jeg jo nok aldrig opklaret, men har ikke opgivet endnu. :-(

Internettet er fantastisk men med alle disse hackere kan det jo godt være enden på at folk vil bruge dette og alle disse fantastiske OpenSource CMS-systemer er jo særlig sårbare og at der skal tillægges meget tid med at opdatere m.m. for at holde disse hackere ude. Det håber jeg udviklerne husker at fortælle deres kunder efter de har sat et site op. ØV ØV

  • 1
  • 0
Jørgen L. Sørensen

alle disse fantastiske OpenSource CMS-systemer er jo særlig sårbare og at der skal tillægges meget tid med at opdatere m.m. for at holde disse hackere ude.

Selve opdateringen af et WordPress site tager kun et par minutter når der kommer en ny version af WordPress --- så det er i hvert fald ikke selve opdateringen af programmet der tager tid. Ved ikke hvor lang tid det tager for de andre cms-programmer. Jeg ved så ikke om der er andre ting der bør gøres, og som tager lang tid (hvis man har sit site kørende hos et webhosting-firma).

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Sofistikeret malware, der af ukendte gerningsmænd kaldes ‘Advanced Power’, hærger i øjeblikket nettet ved at sende såkaldte SQL-injections på samtlige sider, en inficeret maskine besøger. Det har it-sikkerhedsbloggeren Brian Krebs fundet ud af. Ifølge hans oplysninger skulle mere end 12.500 browsere
allerede være overtaget af den skadelige kode, der angiveligt har hærget siden maj måned. Ifølge Brian Krebs har programmet indtil videre identificeret 1800 sårbare hjemmesider. SQL-injections er kommandoer til et websites database, der foretages via login-formularer og andre indlejrede kanaler til databasen, som er nødvendige for at kommunikere med brugeren. Nogle websider er ikke ordentlig...