Tweet

Anti-virus firms が Mozilla Firefox の形態をとる拡張機能が出現していると報告している。このトロイの木馬は、McAfee（日本のマカフィーサイト） では FormSpy と名付けられ、Sophos（日本語サイト） では、Troj/FireSpy-A という別名を持っている。

このトロイの木馬は、ブラウザに入力された、パスワードやインターネットバンキングの詳細など（ただしそれだけには限らない）の情報をキャプチャーし、それらをリモートのコンピュータに送信する。このトロイの木馬は、Windows 実行形式により感染し、ICQ, POP3, IMAP そして FTP のパスワードを記録する。Firefox の内部では、このトロイの木馬は、正当な numberedlinks 拡張機能のふりをする。

FormSpy トロイは、コンピュータに感染するようないかなる Firefox の脆弱性も利用していない。その代わり、これは自動的に Downloader-AXM として知られる悪意のあるソフトウェアによりダウンロード・インストールされ、これはひそかにダウンロードしトロイの木馬を動作させる目的で単独で動作している。一度 Downloader-AXM によってダウンロードされると、FormSpy は Firefox のユーザプロファイルを直接更新して自分自身をインストールし、通常の Firefox 拡張機能のインストールメカニズム（と警告メッセージ）を完全にバイパスする。

この方法で FormSpy に感染する場合は、ユーザは自分のシステムがあらかじめ Downloader-AXM に感染している必要がある。今週の前半の最初の感染では、Downloader-AXM は ウォルマート からの注文確認メッセージを装う目的の偽装電子メールに添付されたウィンドウズ実行形式として配布された。しかし、McAfee は三年越しのマイクロソフトインターネットエクスプローラーの VBS/Psyme 脆弱性を使って FormSpy をインストールしようともしているようだと報告している。

感染しているかどうかをチェックするには、ユーザはインストールされている拡張機能のリストをチェックするのが賢明だ（ツールメニューの拡張機能の項目からアクセスする事が出来る)。Numbered Links 0.9″ という予期しない拡張機能があれば、これは感染の可能性をシメしている。McAfee の FormSpy ウィルスの詳細 には、このトロイの木馬によってインストールされるファイルについてのより詳しい情報が掲載されている。McAfee は感染数は今はそれほど多くないと信じている。

TechWebFormSpy に関する記事 が掲載されている。この報告書では、McAfeeAvert 研究所 のウィルスの研究マネージャである Craig Schmugar 氏は、FormSpy トロイ自身がが正当な numberedlinks 拡張機能を偽装できる容易さについて関心を示しており、Firefox の開発者はこれについて記述を行うべきである、と提案しています。

この記事で使用されたリンクについては、roseman と Juha-Matti に感謝する。

[ 原文 / 2006年7月27日(木) ]

参考リンク：

• Firefoxの拡張機能を装うスパイウエア「FormSpy」 (MYCOMジャーナル)
• 「Firefox」の拡張機能を装うトロイの木馬が出現 – CNET Japan
• ITmedia News：Firefoxから情報を盗むトロイの木馬

カテゴリ： MozillaZine
投稿者： Ryuzi Kambe
投稿日時： 2006/07/30 日曜日 - 00:56:04
コメントを投稿するか、あなたのサイトからトラックバックすることができます

https://mozillazine.jp/wp-trackback.php?p=345