Malware klaut Logins über Firefox-Browser: Fieser Passwortdieb konfiguriert Firefox um

Ein Schädling manipuliert eine Konfigurationsdatei von Firefox, um Passwörter ausspionieren zu können. Er konfiguriert den Browser so, dass dieser ohne Rückfrage beim Benutzer alle Passwörter speichert, die für Anmeldungen im Web eingegeben werden.

Ein neuer Schädling manipuliert eine Konfigurationsdatei von Firefox, um Passwörter ausspionieren zu können. Er konfiguriert den Browser dabei so um, dass dieser ohne Rückfrage beim Benutzer alle Passwörter speichert, die für Anmeldungen im Web eingegeben werden.

Im Webbroot Threat Blog berichtet Andrew Brandt über ein Trojanisches Pferd namens »Trojan-PWS-Nslog«, das auch aktuelle Firefox-Versionen manipulieren kann. Standardmäßig fragt Firefox nach Eingabe eines Passworts auf einer Website, ob der Benutzer das Passwort speichern möchte. Anwender können das Speichern von Passwörtern ganz abschalten, eine Möglichkeit Passwörter ohne Rückfrage zu speichern, sieht der Dialog Einstellungen / Sicherheit in Firefox jedoch nicht vor.

Doch bereits seit geraumer Zeit ist ein Trick bekannt, mit dem genau dies erreicht werden kann. Dazu muss man die Datei »nsLoginManagerPrompter.js« im Programm-Verzeichnis von Firefox, im Unterverzeichnis »components«, bearbeiten. Genau das macht auch der vom Sicherheitsunternehmen Webroot entdeckte Schädling. Er fügt unter anderem eine Zeile »pwmgr.addLogin(aLogin);« ein. Dadurch unterbleibt die Nachfrage, der Schädling liest die gespeicherten Passwörter in kurzen Intervallen aus und sendet sie an seinen Herrn und Meister.

Der Schädling kopiert sich mit dem Dateinamen Kernel.exe ins Verzeichnis Windows/system32 und holt sich aus der Registry auch die vom Internet Explorer gespeicherten Passwörter. Er installiert und registriert ferner eine veraltete ActiveX-Komponente namens »Microsoft Internet Transfer Control DLL« (msinet.ocx), um mit seinem Mutterschiff zu kommunizieren. Ferner legt er einen neuen Benutzer namens »Maestro« an.

Übersicht