Trojāni uz Mozillas un Firefox caur XPI Install

Nesen komentāros izskanēja doma, ka *ļaunie* ir sataisījuši savas drazas arī Mozillveidīgiem pārlūkiem. Efekts tiek panākts izmantojot Mozillas paplašinājumu sistēmu XPI. Atverot inficētu mājas lapu lietotāja priekšā parādās dialoga logs (skat. zemāk attēlu), kas piedāvā uzinstalēt paplašinājumu. Nospiežot pogu “OK” tas tiek uzinstalēts, nospiežot “Cancel”, kas arī būtu pareizais solis, nekas netiek instalēts un lietotājs droši turpina savas gaitas internetā.

Extension install

Jebkurš man zināms Firefox vai kāda cita Mozillas bāzēta pārlūka lietotājs uzskata to par drošu esam. Attiecīgi šāds paziņojums var izsist no sliedēm. Šādos gadījumos der atcerēties vienu vienkāršu principu – ja tu vēlējies kaut ko instalēt, tad turpini to darīt, ja šāds piedāvājums tiek izteikts kā pārsteigums, tad vienkārši ignorē to un turpini savas gaitas.

Ar šo XPI paplašinājumu tiek uzinstalēta programma Bridge, kas sačakarē Internet Exploreri un ver vaļā izlecošos logus. 😉

Xpi contains sbc_netscape.exe, it installs program called Bridge, which hijacks IE. Associated somehow with www.blazefind.com.

Firefox izstrādātāji jau ir apzinājuši problēmu un par to ir izveidots ieraksts Bugzillā. Mozillazine forumā ir atrodamas divas apspriedes #1, #2 par doto tēmu. Notestēt šo ļaunprāti var šajā lapā. Forumā cilvēki raksta, ka McAfee kā arī citi antivīrusi to jau uzskata par trojāni.

Kā pagaidu risinājums tiek piedāvāts vispār atcelt XPI paplašinājumu instalēšanas iespēju.

To var panākt pievienojot user.js failam pāris rindiņas. Par user.js faila pielietošanu pārlūka uzlabošanā es rakstīju vēl pirms gada, kad bija vēl Phoenix, kas ir Firbird un Firefox priekšgājējs.

//XPI package enable/disable
user_pref(“xpinstall.enabled”, false);
//Show XPI install enable alert when disabled
user_pref(“xpinstall.disabled_alert”, true);
//Show XPI install enable alert only once
user_pref(“xpinstall.disabled_alert.show_once”, false);

Pievienojot šīs rindiņas tāpat izleks paziņojums, tikai šoreiz tas piedāvās vai nu atvērt šo failu vai arī saglabāt to.

Extension open

Normāls risinājums tiek meklēts un tas visticamāk, ka būs iekļauts jaunajā Firefox 0.9 versijā.

54 thoughts on “Trojāni uz Mozillas un Firefox caur XPI Install

  1. BlackHalt

    Bij bij šitie negaidītie piedāvājumi instalēt cracks.am tipa lapās, kaut kādu sexer pluginu. Tā, šito ierakstām user.js failiņā.

    Atbildēt
  2. peteris

    Šķiet, ka problēmas nav, tomēr pilnībā piekrītu

    Jebkurš man zināms Firefox vai kāda cita Mozillas bāzēta pārlūka lietotājs uzskata to par drošu esam. Attiecīgi šāds paziņojums var izsist no sliedēm.

    Un pazīstot tos cilvēkus, kuriem esmu ieteici to lietot, sagaidu, ka viņi varētu piespiest OK nedomājot. Liekas, ka tā jau ir diagnoze un nekādi SP un citi rīki īsti šos lietotājus neglābs….

    Atbildēt
  3. Kaklz

    Būtu prikolīgi pie instalēšanas palūgt ievadīt 12-zīmju ciparu, kas ir nomaskēts bildē 🙂 Tad varbūt aiz slinkuma mežģīt acis arī padomātu, vai tiešām vajag kaut ko instalierēt 😉

    Atbildēt
  4. Kikko

    Nu es domāju ka šitiem jokiem ātri tiks galā, ja jau foxis māk atšķirt requested no unrequested popupsiem, tad jau arī iemācīs viņu atšķirt requested no unrequested instaliem.

    Atbildēt
  5. bljaaviens

    imho, taa nav nekaada diagnoze. aiznjemtam cilveekam nav laika lasiit pazinojumus etc. zinama vaina jauznjemas ari adminiem, kas pieradina userus spiest "tikai enter" visos logos.
    mozh kads uzrakstiis xpi pluginu, kas samaina defaulto pogu no InstallNow uz Cancel 🙂 lai gan, advancetakie useri, jeb tie, kuri vairak izmanto peli tapat var nospiest jamo.
    man labak patika variants defaultaa atsleegt .xpi instaleshanas iespejas. kam vajadzes instaleet, tas jaapmaca sho kjeksi atrast…
    Kaklz: esi redzejis MSN.passport bildee maskeeto passfraazi? tur tos burtus pat skolaa gaajis cilveeks nevar atshifreet…

    Atbildēt
  6. Petro

    TypeR: Pirms nepilna gada meklējot seriāļus caur astalavista.com man gadījās viens līdzīgs priekš IE. Spied vai [OK] vai [Cancel] – rezultāts tas pats. Vienīgā iespēja nenoinstallēt bija spiest [X] logam stūrī.

    Atbildēt
  7. coolynx

    Lupus: Domāju, ka nekā, ja nu vienīgi ar kādu paplašinājumu – Tabbrowser Extension vai līdzīgu. Es jau kādu laiku visu veru ar peles vidējo pogu. 🙂
    Savukārt, ja tu gribi ignorēt html kodā ieraktīto target="_blank", tad var līdzēt šis te.

    Atveram about:config
    ierakstam "window" (bez pēdiņām)
    Atrodam nosaukumu browser.block.target_new_window
    un nomainam vērtību uz "true"

    Atbildēt
  8. coolynx

    Ja tik vien tās problēmas, tad vēl var vērt jaunā logā arī ar ctrl+parastais kliks. Tas gadījumam, ja nav rullīša. 😉

    Atbildēt
  9. Wilx

    Sorry ne pa tēmu, bet nezinu podnieka mailu.
    Lieta tāda: System Info tūlis www.Aida32.hu aizklapēta ciet un pārtapusi par Everest.

    Atbildēt
  10. Delfins

    redbox, seko lidz ko raxti… "nokjeeru… iztiku…".
    anywei. iesacejiem toch ir smagi muusdieniigajaa netaa, visur un vienmeer tos meegina izd*** visos veidos.

    Atbildēt
  11. janka

    a kaa uzlikt lai vienmeer visus linkus vertu jaunaa tabaa (ne jaunaa logaa). vislaik izmantoju peles rulliiti, bet gribeetu taapataas arii.

    Atbildēt
  12. Pecis

    e-remit, to pašu padomāju, heh…Fakts, lietotājs lielākoties klikšķinātu uz OK, jo viņam poh, ka tik netraucē strādāt…

    Atbildēt
  13. eermaniitis

    tauta help – esmu ar gadiem palicis pagalam blonds – kur tas user.js meetaajas – ne sitams to pa savu lejerkasti ar search vai manuaali nevaru atrast….;-(

    Atbildēt
  14. eermaniitis

    piedošanu tauta – tas laikam sirmums baardaa un slikta redze – izlasiiju mateiālu – iekjibinaaju visu ka colinx raksta – un pljerkt – shamais nepiedaavaa neko atveert vai seivot – nau nekaa nav un uiss 😉

    Atbildēt
  15. ne pa tēmu

    Datortehnoloģiju izstrādātāji un tirgotāji lūdz apturēt valdības noteikumu par autoratlīdzību iekasēšanu izpildi
    Rīga, 17.maijs, LETA. Latvijas Datortehnoloģiju asociācija (LDTA) lūdz kultūras ministri Helēnu Demakovu (TP) apturēt ministru kabineta noteikumu par autoratlīdzību iekasēšanu izpildi, aģentūru LETA informēja LDTA izpilddirektors Dzintars Zariņš.
    LDTA uzsver, ka ir vairākkārtīgi vērsusies pie Kultūras ministrijas (KM) ar iniciatīvu piedalīties izstrādāt atbilstošus normatīvos dokumentus. "Diemžēl attiecīgie valdības noteikumi tika pieņemti, neņemot vērā LDTA viedokli", teikts asociācijas paziņojumā presei.
    "LDTA darba grupa konstatēja, ka noteikumi pašreizējā redakcijā ir absurdi, bet vietām pat komiski, demonstrējot rakstītāju neizpratni par IT produktu importa un eksporta procedūrām. Neprofesionāli sagatavotais noteikumu teksts draud viest haosu IT preču plūsmā, nodarot milzīgus zaudējumus Latvijas tautsaimniecībai, jo uzņēmēji būs spiesti meklēt valstis ar Eiropas Savienības (ES) tirgum labvēlīgāku uzņēmējdarbības vidi," norāda asociācijas pārstāvji.
    LDTA izceļ dažus, viņuprāt, nesaprātīgākos noteikumu punktus. Piemēram, nesēja atlīdzības aprēķinu metodoloģija esot ļoti sarežģīta, tāpēc esot neiespējami izkontrolēt tās ieviešanu, radot augsni negodīgai konkurencei, turklāt nav saprotama tarifu lieluma izcelsme un pamatojums.
    "Tukšo datu nesēju realizācijas noteikumu punkts, kas paredz katram tukšam datu nesējam pievienot speciālu apliecību – ir nesaprātīgs un praktiski neizpildāms, kas norāda, ka noteikumu rakstītājiem nav reāla priekšstata par datu nesēju reālo izskatu, pielietojumu un tirdzniecības īpatnībām," teikts paziņojumā.
    Noteikumos paredzēts, ka atlīdzību iekasē, sadala un izmaksā viena mantisko tiesību kolektīvā pārvaldījuma organizācija, taču nav definēti citi šīs vai citas organizācijas pienākumi, piemēram, kontroles funkcijas, kas novērstu negodīgu konkurenci, ja kāds nemaksā vispār, kā arī organizācijas tehniskā spēja veikt atlīdzības iekasēšanu un administrēšanu atbilstoši normālām komercijas prasībām, uzskata uzņēmēji.
    "Pēc mūsu informācijas, Latvijā pašlaik nav organizācijas, kas spētu veikt šādas funkcijas, atskaitot muitu," norāda LDTA pārstāvji.
    Viņuprāt, redzams, ka noteikumu rakstītāji nav veikuši aprēķinus, kādas summas, kas būs milzīgas, papildus būtu jāparedz valsts budžetā valsts IT infrastruktūras projektu realizācijai, ja atlīdzību rēķinās pēc noteikumos dotās metodikas.
    Piemēram, vidēja valsts datu reģistra datu bāze parasti ir ar aptuveni 10 000 gigabaitu ietilpību, kas ir nodrošināta ar 20 000 gigabaitu ietilpības rezerves kopēšanas sistēmu. Pēc noteikumos dotās metodoloģijas, "teorētiski" var ierakstīt videoinformāciju 12 500 stundu jeb pusotra gada garumā, par ko ir jāmaksā autoratlīdzība. To maksās valsts pakalpojumu saņēmēji – nodokļu maksātāji, uzsver asociācijas speciālisti.
    Ņemot vērā šos minētos argumentus, LDTA ir vērsusies pie kultūras ministres ar lūgumu darīt visu iespējamo, lai nekavējoties apturētu noteikumu darbību šādā redakcijā un veicinātu visu ieinteresēto pušu lietpratēju kopīgu aktivitāšu uzsākšanu, lai pēc iespējas ātrāk uzrakstītu loģiskus, saprotamus un praktiski realizējamus noteikumus.
    LDTA ir dibināta 1997.gadā. Tajā ietilpst juridiskās personas – lielākie vairumtirgotāji, sistēmu integratori, kā arī daudzi programmatūras izstrādes uzņēmumi.
    Andris Lācars LETA
    Copyright © LETA

    Atbildēt
  16. MZM

    Mozilla lietotāji: Edit -> Preferences -> Advanced -> Software Installation -> Enable Software installation un noņemam ķeksi.
    Ja šo lietu izdara admins jau pie Mozilla uzstādīšanas, tad problēmu nau 🙂 Protams, *nix lietotāji atpūšas 😉
    Pēc būtības – protjef loma njet prijoma. Tas ir tas pats, kas vērt vaļā aizdomīgus e-pasa pielikumus. Un lietotāji jau tika brīdināti…

    Atbildēt
  17. ZBH

    ne pa tēmu : CIK GIGABAITU? 🙂 10 000 GB videejai valsts registr dat baazei – un tas pie ~2.5 miljoniem iedziivotaaj – eto ko tajaa vienaa (no daudziem) registraa buut jaaglabaa, iedziivotaaj dublikaats, vai? 🙂

    Atbildēt
  18. danila

    vienmēr atradīsies cirvji, kas spiedīs OK, INSTALL, utt, bļa! rīt darbā netikšu pie datora, jo otrs kolēģis (strādajam pie vienas kastes dažādās dienās) visu nokāvis (virusi aū). 🙁
    nu i ko tas dod, ka zem mana logina viss rullē (FF+firebird), ka viņš visu nolaidis dirsā (IE+OE)… nemaz i runat negribas……

    Atbildēt
  19. redbox

    Delfins: Nedaudz vajag arī piedomāt pie teksta. Es viņu "noķēru", kad viņš mēģināja kā XPI sevi ieinstalēt, bet izlasot šo rakstu, nospiedu Cancel – un iztiku bez trojāna. Nevajag katru vārdu burtiski uztvert 😉

    Atbildēt
  20. hQuse

    tomēr vislabāk cilvēkiem ieteikt nevis spiest uz "Cancel", bet aizvērt lodziņu ar krustiņu, jo var uztaisīt mākslīgo "Cancel" 🙂

    Atbildēt
  21. karuuzo

    ne pa tēmu Vienkārša matemātika: VIDam ir 34 nodaļas + VID CA + vēl dažas DB (Elektroniskā deklarēšana, publiskā DB, utt)
    Tātad: 34 nodaļas * 20GB (aptuvenais vidējais izmērs) * 2 (RAIDi) + 40GB (VID CA) * 2 (RAIDi) = 1 440 GB
    Pieskaitām vēl citas DB, varētu būt ap 400GB (ļoti aptuveni), jau iznāk ~ 2TB. Turpināt? Katru nedēļu tiek taisīts pilnais backup + katru dienu izmaiņas. Cik tas iznāk, ja vēl pareiķina gadā 8-0
    m
    PS. Ceru ka šī nav konfidenciāla INFO, citādi mani pakārs :))

    Atbildēt
  22. kaspiic

    neiet man tas user.js fails, uztaisiit uztaisiiju rindinas pieliku, kaa uzspied uz kaada extensiona taa tik un taa izlec install now vai cancel. kur probleema?

    Atbildēt
  23. kaspiic

    vellos nestraadaa, uztaisiiju veelreiz pat kompi paarstarteeju.:(
    nu pag, respektiivi uztaisu jaunu failu – tukšu, saglabaaju kaa user.js, respektiivi *.js formaataa un tad iekopeeju:
    //XPI package enable/disable
    user_pref("xpinstall.enabled", false);
    //Show XPI install enable alert when disabled
    user_pref("xpinstall.disabled_al ert", true);
    //Show XPI install enable alert only once
    user_pref("xpinstall.disabled_alert.show_once& quot;, false);
    saliidzinaaju ar prefs.js, sintakse itkaa ok, FF ciet …..

    Atbildēt
  24. coolynx

    Tādā gadījumā tu nepareizā direktorijā to dari. Paskaties rakstā doto linku uz iepriekšējo rakstu par user.js veidošanu vai tipus un trikus…

    Atbildēt
  25. Spameris

    nu itkaaa pareizajaa : c:Documents and SettingsKasparsApplication DataMozillaProfilesdefault19l8bbjh.sltuser.js
    turpat atrodas arii key3.db, prefs.js, panacea.dat utt.

    Atbildēt
  26. coolynx

    Man jau šķiet, ka tev to failu vienkārši ignorē.
    Pamēģini ieraksti
    user_pref("nglayout.initialpaint.delay", 10000);
    un paskaties vai lapas ielāde tiks nobremzēta vai nē.

    Atbildēt
  27. kaspiic

    he atradu kas par knifu, es to user.js liku ….MozillaProfiles, bet jāliek cik saprotu ……PhoenixProfiles, biski apmulsināja tevis rakstītais: kad bija vēl Phoenix, kas ir Firbird un Firefox priekšgājējs. – respektīvi ja prieksgājējs tad tagad jābūt mozilla dirā.:) bet kā tur ir, man vins vispār tagad tos extensions nelādē, nepiedāvā open vai Save.

    Atbildēt
  28. Niknais

    jaunieshi, pedejaa laikaa firefox, zem windows un zem linuxa vienkarshi browsojot termineejas. nez kas tas par gljuku varetu buut, ieprieksh nekas tads nav bijis. [firefoxim nav flash plugins, kursh varetu graut to pasakumu].

    Atbildēt
  29. ZBH

    karuuzo : lab. 1.44TB disketiit uz 2.5 miljoniem dazaad kalibr beern velk uz pusgig uz dveesel, ja vien es nekluudos nullees. atvaino, bet tur kam jaaglabaajs? Tu izteelojies, ka to vis veel vaig ievadiit kompii, cik ziims cilveeks minuutee var iegaazt, un cik cilveek buut vaidziig, lai savadiit ar rok to terabait ar kapeikaam pa to laik, kameer taa sisteem pastaav? ok, tur visaad dat var tikt izskaitlot, bet es lot saubos, vai tie iraid kaut 10x vairaak par ar rok ievadiitajiem.
    saliidzinajumam – lib.ru tekst inf pirms pusgad sastaadiij 4GB. tik, cik VID glabaa par 8 videejiem statistiskajiem cilveekiem 🙂 Lenins rozaa kraas nomain pret zalj un nafig izdemolee Mauzolej.

    Atbildēt
  30. Djuke

    to ZBH: var var būt tā… ko Tu domā, ka datu bāzē glabājas tikai konkrēti ieraksti par cilvēkiem un viss? tur vēl visādas atskaites jāglabā, deklarācijas un visāda citāda figņa. vidā jau arī info par uzņēmumiem glabājas… un tur jau ir daudz vietas vajadzīgs. plus vēl pierēķini visādas saites, visādus indeksus (indeksi vien var veidot ntos gigabaitus) utt.
    …tas Tev nav vienkāršu simbolu blāķi saglabāt uz diska 🙂

    Atbildēt
  31. ZBH

    Djuke : nu cik tur var buut taas saits un indeks? indekss neir lab taisiit pa vis, ko vien var indekseet, citaad saak zust jeeg no taa.
    vin taas atskaits un deklaraacijs, ko, TIFFos glabaa, vai? cik ta taas atskaits un deklaraacijs gadaa tais? uzneemum, kas darbojs, neir nemaz tik lot daudz, neiram jau aarzon, un arri tiem graamatvediibs baazs parast nevelk uz ceturtdalgig uz darbiniek (otr ceturtdalgig atstaajam darbiniekam privaatajaam VID vaidziibaam :). imho tur kaukaads overkills sataisiits, kaut vai ar briivajaam vietaam laukos.
    un, kaa jau teic, to vis veel vaig sagjenereet.

    Atbildēt

Atbildēt uz komentāru Delfins Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *