Malware tarnt sich als Add-on für Firefox

Demnach besteht ‘FormSpy‘ aus mehreren Komponenten. Ein Teil betätigt sich als Keylogger und zeichnet vertrauliche Daten wie Login-Informationen auf. Ein anderer Teil sammelt die Passwörter von ICQ- und FTP-Sessions. Alle Daten werden dann an eine bestimmte IP-Adresse geschickt.

Nach Angaben von Craig Schmugar, Virus Research Manager McAfee Avert Labs, wird die Schadsoftware mit einer E-Mail versandt, die vom Handelskonzern Wal-Mart zu kommen scheint. Im Text der Nachricht wird eine Bestellnummer genannt. Der Anhang der E-Mail trage dieselbe Nummer. Klicke ein Anwender auf den Anhang, werde die Schadsoftware installiert, so Schmugar.

Auf dem infizierten Rechner tarnt sich FormSpy dann als Firefox-Erweiterung. Dazu fälscht die Malware ‘Numberedlinks 0.9’, ein legitimes Firefox-Add-on. Die gefälschte Version installiert sich ohne Wissen der Anwender – die sonst übliche Dialogbox zur Bestätigung der Installation wird nicht angezeigt.

Damit hätten die Hacker einen neuen Weg gefunden, um Firefox zu missbrauchen, sagte Schmugar. Das Mozilla-Projekt – das Firefox entwickelt – sollte in Sachen Browser-Erweiterungen für mehr Sicherheit sorgen, so der Manager.