MozTW 討論區 :: 檢視主題 - 木馬程式假裝成Firefox擴充套件

McAfee將該木馬程式命名為FormSpy，使用者是先透過電子郵件的附加檔案受到Downloader-AXM的感染，然後下載惡意程式，而FormSpy便因此被下載到使用者電腦中。

資安業者McAfee近日警告，有一支木馬程式假裝自己是開放原始碼瀏覽器Firefox的擴充套件，使用者一旦執行該程式，就會將自己的機密資訊傳送到別的網站上。

McAfee將該木馬程式命名為FormSpy，不過這支木馬程式是透過另一稱作Downloader-AXM的木馬程式所下載的。

出現在使用者電腦中的偽裝擴充套件為NumberedLinks 0.9，該類型的套件通常用來讓使用者透過鍵盤輸入數字來進行連結，而不需要使用滑鼠。之後FormSpy就能透過瀏覽器將資訊傳送到其他網站上，包括使用者的信用卡密碼、電子銀行的PIN碼，甚至是使用者即時傳訊、電子郵件或FTP密碼等。

（編譯/陳曉莉）

現在想想，xpi要透過https協定取得，還真是有道理。

parisian 寫:

現在想想，xpi要透過https協定取得，還真是有道理。

我認為這和https沒什麼直接關係，不知兄所指是什麼道理，可否教我？

可能是我用英文在思考的關係。在台灣或其它語區安裝應該比較沒有這個危險性，在英語系網站上，https至少要經過認證，如果套件在放上那個下載點之前也有經過基本的安全性檢查，基本上是安全的。如果個做個xpi 的假套件，真要說起來，以英文語系最容易上當…不知道我這樣說對不對…

「用不用https下載xpi」和「該xpi是否為木馬」是兩回事，不應混為一談，否則容易讓大家誤認為「用https下載的xpi就是安全的」。

發表人:	chilly [ 2006-07-28, 11:35 ]
文章主題 :	木馬程式假裝成Firefox擴充套件
木馬程式假裝成Firefox擴充套件文/陳曉莉 (編譯) 2006-07-27 http://www.ithome.com.tw/itadm/article.php?c=38496 引言回覆: McAfee將該木馬程式命名為FormSpy，使用者是先透過電子郵件的附加檔案受到Downloader-AXM的感染，然後下載惡意程式，而FormSpy便因此被下載到使用者電腦中。資安業者McAfee近日警告，有一支木馬程式假裝自己是開放原始碼瀏覽器Firefox的擴充套件，使用者一旦執行該程式，就會將自己的機密資訊傳送到別的網站上。 McAfee將該木馬程式命名為FormSpy，不過這支木馬程式是透過另一稱作Downloader-AXM的木馬程式所下載的。出現在使用者電腦中的偽裝擴充套件為NumberedLinks 0.9，該類型的套件通常用來讓使用者透過鍵盤輸入數字來進行連結，而不需要使用滑鼠。之後FormSpy就能透過瀏覽器將資訊傳送到其他網站上，包括使用者的信用卡密碼、電子銀行的PIN碼，甚至是使用者即時傳訊、電子郵件或FTP密碼等。（編譯/陳曉莉）

發表人:	parisian [ 2006-07-28, 12:09 ]
文章主題 :
現在想想，xpi要透過https協定取得，還真是有道理。

發表人:	arphen [ 2006-07-28, 12:23 ]
文章主題 :
parisian 寫: 現在想想，xpi要透過https協定取得，還真是有道理。我認為這和https沒什麼直接關係，不知兄所指是什麼道理，可否教我？

發表人:	parisian [ 2006-07-28, 12:36 ]
文章主題 :
arphen 寫: parisian 寫: 現在想想，xpi要透過https協定取得，還真是有道理。我認為這和https沒什麼直接關係，不知兄所指是什麼道理，可否教我？可能是我用英文在思考的關係。在台灣或其它語區安裝應該比較沒有這個危險性，在英語系網站上，https至少要經過認證，如果套件在放上那個下載點之前也有經過基本的安全性檢查，基本上是安全的。如果個做個xpi 的假套件，真要說起來，以英文語系最容易上當…不知道我這樣說對不對…

發表人:	arphen [ 2006-07-28, 16:08 ]
文章主題 :
parisian 寫: 可能是我用英文在思考的關係。在台灣或其它語區安裝應該比較沒有這個危險性，在英語系網站上，https至少要經過認證，如果套件在放上那個下載點之前也有經過基本的安全性檢查，基本上是安全的。如果個做個xpi 的假套件，真要說起來，以英文語系最容易上當…不知道我這樣說對不對… 「用不用https下載xpi」和「該xpi是否為木馬」是兩回事，不應混為一談，否則容易讓大家誤認為「用https下載的xpi就是安全的」。

MozTW 討論區 https://forum.moztw.org/

木馬程式假裝成Firefox擴充套件 https://forum.moztw.org/viewtopic.php?f=22&t=14988	第 1 頁 (共 1 頁)

發表人:	parisian [ 2006-07-28, 16:30 ]
文章主題 :
arphen 寫: 「用不用https下載xpi」和「該xpi是否為木馬」是兩回事，不應混為一談，否則容易讓大家誤認為「用https下載的xpi就是安全的」。說的是。這件事的觀念上我犯了邏輯謬誤。

發表人:	parisian [ 2006-07-28, 17:36 ]
文章主題 :
arphen : 你覺得以它這種感染途徑，是不是該說「允許網站安裝軟件」的功能根本就防不了它？我想這是確定的吧？因為它不是透過網站安裝。再來是說，如果他把植入的方式，寫成先修改profiles裡面設定檔的隨機變數和profiles.ini，然後它就可以直接寫入，根本就不需要經過安裝確認，對吧？因為FX的設定檔變數沒有經過系統登錄的保護（因為它要跨平台），主程式對設定檔變數也沒有認證機制，對吧？像我們可以在FX啟動狀態時，直接去修改那個變數，我們改完了，回來操作，所有套件也都正常，一點異狀都不會出現。就算有，頂多進行FX重啟。我們用這個方式來模擬它對預設路徑profiles進行直接寫入…合理吧？你覺得呢？再下來，只要那個木馬能突破系統的保護，他用上述手法，就可以植入任何他想安裝的xpi ，這個有問題的xpi 在初期根本不太可能被防毒公司的蒐集系統注意到，等注意到都已經來不及了，對吧？挺嚴重的我覺得…你認為呢？

發表人:	rail02000 [ 2006-07-28, 17:51 ]
文章主題 :
MozillaZine 上的消息 http://www.mozillazine.org/talkback.html?article=12722

發表人:	parisian [ 2006-07-28, 18:02 ]
文章主題 :
rail02000 寫: MozillaZine 上的消息 http://www.mozillazine.org/talkback.html?article=12722 "....FormSpy installs itself in Firefox by directly modifying Firefox user profile files, completely bypassing the standard Firefox extension installation mechanism (and warning messages)....." 果然我後知後覺…

第 1 頁 (共 1 頁)	所有顯示的時間為 UTC + 8 小時
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/