|
Ein Trojaner maskiert sich derzeit als Firefox- Erweiterung: Nach Installierung werden Passwörter und Kreditkartennummern auf externen Server gesendet.
(Wien, 27.7.2006) Der Antiviren-Spezialist McAfee warnt vor einem neuen Trojanischen Pferd, das sich als Firefox-Erweiterung tarnt. Verbreitet wird der Trojaner über Spam-Mails, die vortäuschen von Wal-Mart zu sein.
Bei einem Öffnen des Mail-Anhangs auf einem Windows-System soll sich der Trojaner als eine Firefox-Erweiterung installieren und sich als die tatsächlich existierende Extension numberedlinks ausgeben. Nach der Installierung werden im Browser unter anderem eingegebene Passwörter und Kreditkartennummern abgefangen und an einen externen Server versandt.
Der Dateianhang der Mail soll aus einem ausführbaren Windows-Programm, dem Downloader-AXM bestehen. Nach einem Start sollen Erweiterung aus dem Internet nachgeladen und direkt in die Konfigurationsdateien von Firefox eingetragen werden. Damit werde ein regulärer Installationsvorgang umgangen.
FormSpy
McAfee stuft die Verbreitung des Trojaners, den er FormSpy getauft hat, als zur Zeit noch gering ein. Fireforx-Erweiterungen werden üblicherweise als sogenannte XPI-Dateien vertrieben. Vor Installationen werden Anwender stets nach einer Bestätigung gefragt. Laut Geok Meng Ong, Mitarbeiter der McAfee Avert Labs, sollten Anwender bei der Installation unsignierter Firefox-Erweiterungen extreme Vorsicht walten lassen, und die Vertrauenswürdigkeit der Quellen überprüfen, wie er in einem Blog-Eintrag zu bedenken gibt.
Allerdings gehe diese gutgemeinte Warnung in diesem Fall, laut "heise", in die falsche Richtung. Erweiterungen würden sich sowieso nur von sehr wenigen speziellen Web-Seiten ohne zusätzliche Freigabe installieren lassen. Weiters würden momentan keine signierten Erweiterungen für Firefox oder Mozilla existieren. Dieser Mechanismus würde außerdem nicht gegen diese spezielle Attacke schützen: Falls ein Anwender einen Dateianhang öffnet und damit ein fremdes Programm auf seinem Computer ausführt, verfügt es automatisch über alle Optionen, welche der Anwender auch hat.
Grundsätzliche Tipps zum Schutz
Als Schutz gegen derartige Angriffe könne man daher nur empfehlen, prinzipiell keine Dateianhänge zu öffnen, die man nicht angefordert hat. Scheinbar vertrauenswürdige Absenderadressen sollten nicht als Garantie aufgefasst werden, dass es sich um seriöse Mails handelt, da Adressen gefälscht werden können. Bei Zweifeln könne man den vorgeblichen Empfänger telefonisch kontaktieren und die Echtheit der Mail bestätigen lassen.
()
© Telekom-Presse
|
