Trojan vermomt zich als Firefox-extensie

**Nostradamus** · 27 July 2006, 11:57

Tweetrapsraket
Virusjager McAfee waarschuwt voor een Trojaans paard dat zichzelf vermomt als extensie voor de Firefox-browser. Het is overigens niet eenvoudig door dit paard te worden vertrappeld: de computer moet namelijk al met een andere trojan besmet zijn.

Volgens gegevens van McAfee, dat de trojan 'FormSpy' heeft gedoopt, wordt de extensie automatisch gedownload als een computer al is geïnfecteerd met een ander Trojaans paard, bekend als Downloader-AXM. De kans daarop is niet erg groot, al doken er volgens de virusbestrijder de laatste tijd incidenteel spammails op met daarin Downloader-AXM.

De extensie die wordt geïnstalleerd is een door kwaadwillenden aangepaste versie van de extensie NumberedLinks 0.9. Normaal gezien kun je met deze extensie (hier de officiële homepage) links met cijfers kiezen in plaats van met de muis.

De gemodificeerde extensie luistert vervolgens naar informatie die tussen sites wordt verstuurd, waar mogelijk gevoelige informatie als wachtwoorden en creditcardnummers tussenzitten.

McAfee schat zowel FormSpy als Downloader-AXM niet hoog in. Desondanks is het handig extensies alleen van betrouwbare sites als mozdev.org of Mozilla's eigen extensie-bibliotheek te halen en onbekende bijlagen in e-mails direct te verwijderen, zonder deze te openen.

Het is de eerste keer dat een worm in een Firefox-extensie verstopt zit, stelt McAfee. Eind vorige week waarschuwde beveiligingsbedrijf SurfControl voor een Trojaans paard dat zich vermomde als de Google Toolbar, maar in werkelijkheid de machine omtovert tot spamzombie.

Ook SurfControl geeft het advies zulke toevoegingen voor de browser alleen bij de bron zelf op te halen.

Bron: ZDNet.be