Firefox 木马问题的提示

以下是mozillazine的公告。主要问题我在这里简译如下：
1。一个恶意软件叫做 Downloader-AXM，他的功能包括了修改firefox的扩展系统，不加提示的安装另外一个木马，叫做Formspy，这个木马可以纪录你上网时输入的信息，泄露你的安全。
2。Downloader-AXM 是这个风险能够工作的基础。他目前有两个渠道入侵内你的机器。a。一份伪装成沃而玛网上购物确认通知的邮件的附件(可执行文件)。b。微软IE浏览器一个3年前的VBS/Psyme 漏洞。
3。预防：更新IE的安全更新，注意你的邮件，不要随意打开可疑附件。
4。如何知道？如果你的扩展列表出现你没有安装过的“Numbered Links 0.9”，那么请立即杀毒。
5。最后，这个风险不是firefox的缺陷所引起，目前评估级别也不高。

Anti-virus firms are reporting that a trojan horse that takes the form of a Mozilla Firefox extension has been spotted in the wild. The trojan, which McAfee has named FormSpy and Sophos has dubbed Troj/FireSpy-A, captures information entered into the browser, including, but not limited to, passwords and banking details, and sends them to a remote computer. The trojan comes with a Windows executable that can also record ICQ, POP3, IMAP and FTP passwords. Within Firefox, the trojan pretends to be the legitimate numberedlinks extension.

The FormSpy trojan does not use any Firefox security flaws to infect computers. Instead, it is downloaded and installed automatically by a piece of Windows malware known as Downloader-AXM, which exists solely for the purpose of surreptitiously downloading and running trojan horses. Once downloaded by Downloader-AXM, FormSpy installs itself in Firefox by directly modifying Firefox user profile files, completely bypassing the standard Firefox extension installation mechanism (and warning messages).

To get infected by FormSpy in this way, a user must already have Downloader-AXM on his or her system. First spotted earlier this week, Downloader-AXM is distributed as a Windows executable attached to a spoof email purporting to be a order confirmation message from Wal-Mart. However, McAfee says that they have also seen attempts to install FormSpy using the three-year-old VBS/Psyme exploit in Microsoft Internet Explorer.

To check for infection, Firefox users are advised to examine their list of installed extensions (accessible from the Tools menu as the Extensions item). The unexpected presence of "Numbered Links 0.9" indicates a possible infection. The McAfee virus profile of FormSpy includes more information about the files installed by the trojan. McAfee believes that the number of infections is currently low.

TechWeb has an article about FormSpy. In the report, Craig Schmugar, virus research manager at McAfee's Avert Labs, expresses concerns about the ease with which the FormSpy trojan is able to disguise itself as the legitimate numberedlinks extension and suggests that Firefox developers should address this.

Thanks to roseman and Juha-Matti Laurio for some of the links used in this article.

　　后面的话题偏离主题，但个人更喜欢后面跑题的言论，比如extensions安装的问题。。。

回楼上：如果GUID必须通过Mozilla的认证的话，对扩展的开发是个极其巨大的打击，爱好者有多少会花费很多的精力去认证呢？像zlowly说的，安装之前给个提示倒是真的，免得有程序偷偷给咱们安装东西。

嗯，楼上说的这一点非常值得注意
xpi的安装机制好像确实是如此的
Mozilla应该好好利用一下GUID，只有通过Mozilla认证的GUID才能被安装

我试过在foxfire/extensions这个目录下，直接把xpi解压放进去，就能实现silent的安装xpi，firefox只是在启动的时候检测一下这个新扩展的兼容性，而整个过程是完全看不到任何提示的。

其实这个机制很难说是Mozilla的责任，因为很多程序都是这样实现插件安装，往往复制个dll到plugins就行了，这几乎已经是惯例了。除非象MS安装驱动那样需要官方数字签名什么的才有可能做到安全。

hnstxx：把FF分析得这么透彻的在坛子里面不多啊，parisian是高人，只是来坛子晚了，所以parisian说自己是小狐狸，就太过谦了

16个帖子，个个都含金，怎么可能是小狐狸呢，那个只是对你发贴数的体现，不是技术和含金量的体现。回到原帖

您的嘉许实不敢当，非常感谢！Mozilla使用同好的关注点，就是小狐我的关注点，版友在使用上遭遇到的使用问题，就是小狐我的问题。只是尽一点使用者的棉薄之力。

把FF分析得这么透彻的在坛子里面不多啊，parisian是高人，只是来坛子晚了，所以parisian说自己是小狐狸，就太过谦了

2006/07/31
文章: 16

16个帖子，个个都含金，怎么可能是小狐狸呢，那个只是对你发贴数的体现，不是技术和含金量的体现。

中国龙：的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。回到原帖

3年未更新又何妨，难道用win9X的都是BC？

小狐也想来说两句，只是先前一直抽不出时间。希望版上的千年狐丶火狐丶老狐等等各位大侠多多包涵。小狐想说它，是因为关注这件事的後续可能性，是出於善意。

关於这件事，要靠个MozillaZine的公告就置顶实在太可惜了，因为老美并没有把xpi木马真正的危险程度，把它给全部诚实的说出来。

先针对目前这个木马的单一事件来说，在MozillaZine上有谈到：

"....FormSpy installs itself in Firefox by directly modifying Firefox user profile files, completely bypassing the standard Firefox extension installation mechanism (and warning messages)....."

由上面对木马所采取的行动说明，我們可以了解到：

一丶它的自行安装方式，首先是把默认路径下面profiles的乱数值，以及profiles.ini里面相同的乱数值，同步的进行修改。修改这两个乱数并不会被firefox.exe主程式发现，目前主程式对它自己建立起来的profiles乱数值并不具备check的认证机制，所以这两个乱数值很容易就能被外来程序修改，而且改的神不知鬼不觉，FX使用者并无法察觉它修改动作完成之後和修改之前，在Firefox上有何不同的操作感。

二丶进行完上述动作之後，接下来它就自己植入到profiles里。这个过程，因为profiles已经被它操控，所以根本不会出现对话框去问您是不是允取它安装。

到此为止只是针对个单一的事件，把它植入木马的动作呈现出来。


-----------------------------------------------------------------------------
接下的问题有四大项，是未来要防备的焦点：

一丶安装这个xpi木马的Loader载具，是不是必然一定要是个「木马」或「毒病」？这并不是Loader的必要条件，换句说，任何写入对Firefox具有针对性的Loader，都可以把一个不良意图的xpi植入到Firefox的设置档中。

二丶xpi的安装只在设置档中进行登录，不会在Windows里的registry注册，它这个xpi本身的危害性，并不容易被整个系统的机制注意到，也很难（几乎无法）被防毒/防木马软件注意到。所以，Firefox设置档里面被自动安装xpi，目前来说是无法被系统安全软件拦阻的，如果要能被拦阻，目前1600多个扩充在我们安装时，就不仅只是Firefox主程式会进行确认了，而是连防毒/防木马软件都会跳出来向我们确认。

三丶一个会自行对外连网的xpi，它会不会被防火墙拦阻进行对我们的确认？答案是不会的。因为xpi是受firefox.exe在管理，只要系统防火墙或Third-Party防火墙，允许firefox.exe连网，它下面所有的xpi都能被允许连网，就像如果我们安装了一个ForecastFox天气预报的扩展一样，它在我们一启动Firefox时就会对外进行已被防火墙允许的合法连网动作。

四丶xpi档是不是只限於做为一个扩展？是不是必然会显示在扩展管理的窗口里面？答案是否定的。显示在扩展管理窗口里面，那只是个扩展的在反安装和注解的附加要件，却不是一个xpi植入的必然要件。就以Firefox1.0.7之前版本，我们要做的那个307259.xpi补丁并不会显示在扩展管理窗口里面是相同的意思，而且那个会在UA字串里显示出来的(NO IDN)字串，也算是个附加上去的注脚，它也能在about:config里被洗掉，就像各位看到小狐我的UA字串里并没有显示(NO IDN)，但这个307259.xpi补丁在我的Firefox里却是的的确确存在。

所以，要请各位多留意这段空窗期的发展。说穿了只要会打包一个程序，也会写xpi，光是这两点就已经俱备黑掉一个Firefox，把他所想要的资料上传或破坏一个Firefox的正常运行功能。当然，如果意外的被人植入了能增加Q币或增加银存款的xpi，那也是挺好的。不过目前这个植入方式只对Windows版本的Firefox有效，估计要在Linux或Mac OS X上进行的可能性是微乎其微乎。

（很快的把本帖打完，有错字的话纯属手指不听话又没再检查内文，请多包涵）

中国龙：的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。回到原帖

反对，能用3年没更新的windows，并且安然无恙，肯定是顶尖高手。
就象现在仍然玩DOS的人大多数不是普通人一样。

来这里的人可能没有一个能做到吧？

发现两位是在聊天吧

我基本不想着去更新Windows，只要洁身自好，好像我也没有中过什么毒，一般下载我都不在国内的下载网站下载，直接到官方去，官方网站下载不了，就干脆不用了。不良网站更是很少访问了，所以现在我不在麻木中，感觉用FF挺好。

其实受到这个木马感染的机会，和其他透过电邮感染的病毒没有大分必。只要小心一点，不随便打开来路不明名的电邮附件，受到感染的机会便十分低。

当然，除了个人安全意识外还要及时更新系统，及使用及时更新的杀毒软件。

这问题很严重，你们还能这么轻松聊，我晕…

原来在说我吗，明白了。可惜我没有用那样的windows，你的如果没有成立。

的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。

那是你说的。

我的意思十分清楚，相信大部分人会明白。

[quote="abc@home"]我是说如果你用 windows 但 3 年不更新便会十分危险，是十分愚蠢。[/quote]

现在明白了吗？