V poslední době jsem na internetu narazil na dva škodlivé kódy, které se tváří jako aktualizace Firefoxu, soubor se jmenuje firefox-update.exe, protože pracuji primárně na Linuxu bylo mi hned jasné o co jde, ale i tak jsem se rozhodl předhodit jim Windows 7 ve Virtualboxu. Takže o co jde.
Velmi jednoduše, po načtení infikované stránky vás to přesměruje na stránku se škodlivým kódem, která se tváří jako stránka updatu Firefoxu, asi je to okopírované jako obrázek z webu Mozilly, protože to vypadá na chlup stejně (kromě adresy, samozřejmě). Následně se vám objeví ve stránce jakou verzi Firefoxu požíváte a pak vám to automaticky nabídne ke stažení update ve formě souboru firefox-update.exe. Je to podobný princip jaký používal neblaze proslulý Antivirus 2009 a celé to sází na hloupost uživatele, který instalaci povolí.
Oba kódy se od sebe vzájemně dost liší, zatímco jeden je pouze upravený Antivirus 2009, který už se netváří jako antivir, ale po nějakém čase se projevuje stejně, tedy blokuje přístup na internet a otravuje s tím, že máte zavirovaný počítač, samozřejmě nabízí přímo z okna prohlížeče možnost to vyřešit tím, že si něco koupíte, předpokládám, že po zaplacení dojde pouze k tomu, že se program z vašeho počítače odstraní. Při pokusu odstranit program antivirem (je nutné spustit skenování systému, samotný štít reaguje velice proměnlivě) se mu většinou povede ještě nastavit připojení k síti ve Windows na použití proxy bez nastavení, což je z mého pohledu trochu kontraproduktivní, protože vám to sice zamezí přístup k internetu z většiny prohlížečů, ale u výše zmíněného Firefoxu, jako jeho update se program původně šíří, k tomu nedojde protože používá vlastní nastavení.
Druhý kód už je o poznání horší, v systému se tváří jako firewall a tak ho antiviry ignorují (pouze Avira uspěla, když varovala již při instalaci, ale pokud to přesto nainstalujete, pak už i její štít mlčí), program se poté spouští se startem systému a celý blok spuštění má “zakopaný” v registrech, takže třeba Ccleanerem ho prostě nesmažete. Program během používání internetu odchytává odchozí komunikaci a jednou za čas, procesem který maskuje jako update, odešle vše nashromážděné pryč. Větším problémem je ovšem doplněk který si nainstaluje přímo do Firefoxu, kdo se někdy pokoušel z vyhledávacího pole Firefoxu odstranit vyhledávač ICQ, moc dobře ví, že přímo z prohlížeče to prostě nejde a je nutné přistoupit k ručnímu výmazu, tohle se chová podobně, už při zadání o výmaz doplňku si program vytvoří kopii a po restartu prohlížeče se prostě nainstaluje zpět, je tedy nutné opět odstranit ručně. Dalším problémem je, že robot operující na pozadí systému je skenem antiviru obvykle odhalen a zničen, ovšem z nějakého důvodu většina antivirů ve výchozím nastavení nijak výrazně neprověřuje doplňky Firefoxu a tak jim tenhle kód unikne.
Teď k tomu co to vlastně dělá, doplněk běží klidně dál i bez “rodiče”, jediné co potřebuje je spuštěný Firefox (samozřejmě), během prohlížení potom kontroluje kde jste a co zadáváte do textových polí, tím se pravděpodobně snaží získat hesla k vašim účtům, pokud se mu to nepovede odesílá pryč alespoň “cookies”, které teoreticky mohou poskytnout útočníkovi časově omezený přístup do vašeho profilu (někde).
Celý program je celkem propracovaný, ale šíření spoléhá na blbost uživatele který si nejenom takovou věc stáhne, ale dokonce nainstaluje, takže hrozba je relativně malá, ale jak už nám ukázal Antivirus 2009 jen dokazuje to, že běžný uživatel je schopen stáhnout a nainstalovat prakticky cokoli a potom se diví a tvrdí “to samo”










