News 04.12.2008, 11:13 Uhr

Schädliches Firefox-Plug-In

Aktuell kursiert eine Malware-Applikation, die sich als Plug-In für den Feuerfuchs ausgibt. Der enthaltene Schädling schnüffelt nach Bankdaten.
BitDefender, Anbieter von Sicherheitslösungen, warnt vor einer neuen Malware-Angriffswelle, die gezielt Onlinebanking-Passwörter ausspioniert. Bei dieser neuen Bedrohung handelt es sich um eine Malware-Applikation (Trojan.PWS.Chromelnject.A), die sich im aktuellen Fall als Firefox-Plug-In tarnt. Es wird in einen Mozilla-Firefox-Unterordner gespeichert und bei jedem Start des Browsers automatisch ausgeführt.
Der Schädling hat es gezielt auf die Zugangsdaten von Nutzern abgesehen, die diese im Rahmen einer Onlinebanking-Session an ihr Finanzinstitut übermitteln. Betroffen hiervon sind derzeit mehr als 100 Banking-Webseiten wie beispielsweise paypal.com.
Computersysteme von Benutzern, die sich mit diesem Trojaner infiziert haben, senden ihre Login-Daten ungewollt an eine Webadresse (...eex.ru). Sowohl die Domain als auch der Hosting Server befindet sich laut BitDefender in Russland.



Kommentare
Avatar
killer_91
04.12.2008
jap würde es auch gut finden wenn man noch irgenwie sagen könnte wo man diesen findet und wie man ihn beseitigen kann... thx :)

Avatar
Gaby Salvisberg
04.12.2008
Nein, wir wissen zwar genau, wie das File heisst, wollen es Euch aber absichtlich nicht sagen - und zwar nur, um Euch zu ärgern :p Und nun zur nicht-ironischen Antwort ;) Wenn Bitdefender sich bequemt hätte, das in die Mitteilung (siehe z.B. hier) zu schreiben, dann hätten wir das gewusst und auch in die Meldung schreiben können. Gruss Gaby

Avatar
killer_91
04.12.2008
Nein, wir wissen zwar genau, wie das File heisst, wollen es Euch aber absichtlich nicht sagen - und zwar nur, um Euch zu ärgern :p Und nun zur nicht-ironischen Antwort ;) Wenn Bitdefender sich bequemt hätte, das in die Mitteilung (siehe z.B. hier) zu schreiben, dann hätten wir das gewusst und auch in die Meldung schreiben können. Gruss Gaby OKeee war ja nicht böse gemeint ^^ Ich hab schon gedacht dass, ihr das aus einem bestimmten Grund nicht angegeben habt.... ;)

Avatar
freakinvibe
04.12.2008
SYMPTOMS: Presence of the: "%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll" "%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js" files in the Mozilla Firefox's plugins and chrome folders. TECHNICAL DESCRIPTION: It drops an executable file (which is a Firefox 3 plugin) and a JavaScript file (detected by Bitdefender as: Trojan.PWS.ChromeInject.A) into the Firefox plugins and chrome folders respectively. It filters the URLs within the Mozilla Firefox browser and whenever encounter the following addresses opened in the Firefox browser it captures the login credentials. akbank.com caixasabadell.net credem.it areasegura.banif.es banca.cajaen.es openbank.es poste.it banesto.es carnet.cajarioja.es gruposantander.es intelvia.cajamurcia.es net.kutxa.net bancopastor.es bancamarch.es caixamanlleu.es elmonte.es ibercajadirecto.com bancopopular.es bancogallego.es bancajaproximaempresas.com caixa*.es caja*.es ccm.es bancoherrero.com bankoa.es bbvanetoffice.com bgnetplus.com bv-i.bancodevalencia.es clavenet.net fibancmediolanum.es sabadellatlantico.com arquia.es banking.*.de westpac.com.au adelaidebank.com.au pncs.com.au nationet.com online.hbs.net.au www.qccu.com.au boq.com.au banksa.com anz.com suncorpmetway.com.au quiubi.it cariparma.it bancaintesa.it popso.it fmbcc.bcc.it secservizi.it bancamediolanum.it csebanking.it fineco.it gbw2.it gruppocarige.it in-biz.it isideonline.it iwbank.it bancaeuro.it bancagenerali.it bcp.it unibanking.it uno-e.com unipolbanca.it carifvg.com cariparo.it carisbo.it islamic-bank.com banking.first-direct.com natwestibanking.com itibank.co.uk co-operativebank.co.uk lloydstsb.co.uk mybankoffshore.alil.co.im abbeynational.co.uk mybusinessbank.co.uk barclays.com online.co.uk my.if.com anbusiness.com hsbc.co anbusiness.com co-operativebankonline.co.uk halifax-online.co.uk ibank.cahoot.com smile.co.uk caterallenonline.co.uk tdcanadatrust.com schwab.com wachovia.com bankofamerica kfhonline.com wamu.com wellsfargo.com procreditbank.bg chase.com 53.com citizensbankonline.com e-gold.com paypal.com usbank.com suntrust.com banquepopulaire.fr onlinebanking.nationalcity.com It is the first malware that targets Firefox. The filtering is done by a JavaScript file running in Firefox's chrome environment. Removal instructions: Close the Firefox browser (if opened). Please let BitDefender disinfect your files. ANALYZED BY: Marusceac Claudiu Florin, virus researcher

Avatar
maedi100
04.12.2008
entferen? http://i-h.ch/t/1228412094/deleteVirus.png xD

Avatar
froeschli
04.12.2008
In eine ähnliche Sparte fällt für mich das Add-On CoolIris. Habe nach dem letzten Update bemerkt, dass CoolIris nun ein *.exe-File in meinem FF-Profil-Ordner abgelegt hat. Da ich dieses Add-On sowieso selten benötigte, ist es gleich hochkant von der Kiste geflogen... Gruss froeschli