 Nowy wirus Trojan-PWS-Nslog jest w stanie przechwytywać wszystkie hasła z przeglądarki Mozilla Firefox w taki sposób, że użytkownik nawet o tym nie wie.
Nie działa on tutaj jednak jak większość innych wirusów, a w zasadzie keyloggerów, które śledzą to co użytkownik wpisuje z klawiatury. Firma Webroot, która przeanalizowała działanie wirusa wykazała, że ten wykorzystuje fakt iż identyfikatory stron WWW umieszczane są w pamięci haseł przeglądarki. Wirus zmienia ustawienia przeglądarki w pliku JavaScript Firefoxa (nsLoginManagerPrompter.js). Niestety zmiany te powodują, że Firefox zaczyna zapisywać dane logowania w sposób automatyczny i to bez pytania użytkownika o zgodę.
Podmiana ustawień jest nad wyraz prosta, najpierw wyłącza pytanie użytkownika o zgodę, a już w następnej linijce dopisuje kod automatycznego zapisywania. Sama podatność znana jest już od 2009 roku, więc Mozilla miała czas na jej załatanie.
Co ciekawe twórca tego szkodnika nie zatarł po sobie śladów. Okazało się, że w kodzie wirusa znaleziono jego imię, a nawet adres Gmail. Znaleziono także stronę na Facebooku, gdzie podobno irańskiego pochodzenia programista twierdzi, że programuje takie rzeczy dla przyjemności.
Sam wirus stanowi zagrożenie dla wszystkich platform, gdzie istnieje możliwość modyfikacji felernego pliku.
Źródło: heise-online |
