Egy olyan trójai kezdett terjedni, amely a webböngészőkben elmentett jelszavakat igyekszik kiszivárogtatni. A kártékony program igazi érdekessége a Firefox egyik funkciójának kijátszásában keresendő.
A biztonsági szakértők rendszeresen hangsúlyozzák, hogy a webböngészőkben eltárolt felhasználónevek és jelszavak komoly kockázatoknak lehetnek kitéve. Ennek ellenére sokszor kényelmi szempontok miatt a felhasználók élnek a böngészők belépési adatok mentésére kifejlesztett szolgáltatásaival, amit az adatlopásra specializálódott kártékony programok előszeretettel ki is használnak.
Adatlopás mindenáron
Az Nslog nevű trójai készítője úgy gondolta, hogy nem bíz semmit a véletlenre, és a kártékony programját úgy készíti fel, hogy az akkor is képes legyen az adatlopásra, ha látszólag a böngésző (Firefox) nem menti a hitelesítő adatokat. Az Nslog alapvetően az Internet Explorer valamint a Firefox által eltárolt bizalmas információk kiszivárogtatására képes, azonban a Mozilla böngészőjének kapcsán egy lépéssel továbbmegy az eddig megszokottakhoz képest. A Firefox esetében ugyanis olyan módosításokat végez, amelyek révén a háttérben beállítja a jelszómentést. A kockázatokat az is jelentősen fokozza, hogy mindebből a felhasználó semmit sem vesz észre. A trójait felfedező Webroot szerint a számítógépes kártevő a Firefox nsLoginManagerPrompter.js nevű állományához néhány új sort ad hozzá, illetve néhány bejegyzést kikommentel. Ennek hatására a böngésző a hátterében folyamatosan elkezdi menteni a belépési adatokat, amelyeket a trójai már könnyűszerrel meg tud szerezni. Az Nslog egyik ismertetőjele, hogy a fertőzött számítógépeken egy "Maestro" felhasználói fiókot is létrehoz.
"A fertőzés előtt a Firefox 3.6.10 a bejelentkeztetésre szolgáló nyomógombok megnyomásakor megkérdezi a felhasználót, hogy elmentse-e az éppen megnyitott weboldalhoz tartozó jelszót. A fertőzés után azonban a böngésző egész egyszerűen minden belépési adatot elment anélkül, hogy erről a felhasználót értesítené" - mondta Andrew Brandt, a Webroot kutatója.
Az Nslog kockázatát csökkenti, hogy az a szerver már nem érhető el, amelyre a kártevő az összegyűjtött adatokat fel tudná tölteni. Amellett a megfelelően frissített víruskeresők is képesek felismerni. Ugyanakkor a Webroot azt javasolta, hogy a vírus eltávolítása után célszerű a Firefox-ot újratelepíteni, ugyanis a módosított böngészőállományt a víruskeresők nagy valószínűséggel nem tudják helyreállítani.
A Webroot az Nslog forráskódjában megtalálta a feltételezett vírusíró nevét és e-mail címét. A Facebook, illetve különféle módszerek alkalmazásával kiderült, hogy a trójai mögött egy olyan iráni személy áll, aki korábban ingyenes billentyűzetfigyelő programokat készített.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
