アカウント名:
パスワード:
最近のはextensionsフォルダにファイルを配置しただけで勝手にインストールされたような…。もっとも新しい拡張が追加されるとユーザーに通知されますけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
BitDefenderのプレスリリースが (スコア:0)
Re: (スコア:1, 参考になる)
Re: (スコア:0)
http://www.bitdefender.com/VIRUS-1000451-en--Trojan.PWS.ChromeInject.B.html [bitdefender.com]
名前の末尾が A ではなく B になっていますが、URL を A に変更しても同じページが表示されます。
# 末尾違い以前に http://www.bitdefender.com/VIRUS-1000451-en-- [bitdefender.com] まで削っても表示されるので
# VIRUS-1000451 だけで識別しているようです。
Re:BitDefenderのプレスリリースが (スコア:3, 興味深い)
このマルウェアは、extensionではなくpluginをインストールしています。ですから、あるいはプラグインの名前がgreasmonkeyなのかもしれません(ちなみに、プラグイン名もアドオンマネージャーのリストに載ります)。
拡張をインストールするためには、XPInstallを行わなければなりません。もちろん、トロイからXPInstallを実行するのも不可能ではありませが、セキュリティ的な理由ではなく、その煩雑さのせいで不確実さが増しますし、その道のプロでも100%は保障しないでしょう。
その点、バイナリを仕込むのにpluginをインストールするというのは、いいアイデアです。そもそも、browser.jsを書き換えているのですから、新たな拡張をインストールする必要はありません。複雑な操作と改変の痕跡が増えるだけです。browser.jsの改変は、トロイから見れば、jarファイルを置き換えるだけですし、pluginのインストールはdllファイルを規定のフォルダに放り込むだけです。つまり、この2つの操作は、ユーザーから見てなんの確認作業もなく(silently)行うことが出来るので、トロイの挙動としては理にかなっています。
# プラグインのファイル名"npbasic.dll"は、SDKサンプルのデフォルト名の一つなので、
# 横着というかなんというか、名前を見ただけでなんとなく動作が分かる気がします。
# npsimpleじゃなくてnpbasicなのか、と。
あまり慰めにはならないかもしれませんが、アンチウィルスソフトから見ると、この手のスクリプト改変やプラグインを検出するのはかなり容易だと思います。つまり、簡単に且つfalse-positiveなく定義ファイルを作ることができるでしょう。
むしろNSPluginが狙われた? (スコア:1, 参考になる)
将来的にNSPlugin(Netscape互換のプラグイン)が使えるブラウザには同じ物が襲ってくる可能性があります。(弱小シェアのブラウザは独自に仕様を策定してもplugin作者が振り向いてくれませんから、IEかNetscape互換するしかありません。)
まずシェア的に一番でかつNSPluginの御本家であるMozillaのFirefoxが狙われたに過ぎません。トリガーは各ブラウザで異なるものが作られ、バイナリは(Win,Mac,Linuxあたりに)クロスプラットフォーム展開が考えられます。
NSPluginですからIEは対象外ですが、IEはプラグインがActiveXでしたから今までも狙われまくってますよね。
# そのうちLLVM中間コードで送られてターゲットPC上で最終バイナリにビルドされるウィルスも出るかも...
Re:BitDefenderのプレスリリースが (スコア:1, 興味深い)
ひとつ恐いのはFirefoxのようなブラウザはZoneAlarmのようなファイヤーウォール
ソフトでは常に「通信を許可」に設定することなんですよね。
ウイルスや何かが他のアプリとしてインストールされてもZoneAlarmで弾かれるから
特に許可を出さない限りは安全だと思うけれど、Firefoxの拡張としてインストール
される場合はこれが効かなくなります。
まあファイヤーウォールにそこまで期待することが間違いだと言われれば、
それまでの話なんだけどね。
Re: (スコア:0)
最近のはextensionsフォルダにファイルを配置しただけで勝手にインストールされたような…。
もっとも新しい拡張が追加されるとユーザーに通知されますけど。
Re: (スコア:0)
言葉足らずでしたが、それがXPIです。そういう正常な手段を使っていいのなら特に難しくはありません。