Tecnología
Mozilla distribuye (otra vez) plugins para Firefox infectados con malware desde el sitio oficial
08/02/2010
En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita para Firefox 2 infectado con adware. Aunque prometió literalmente "analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir" se acaba de descubrir que dos plugins infectados con malware para Windows han estado disponibles desde su página oficial.
La fundación Mozilla ha informado que dos complementos "experimentales" para el navegador Firefox contenían troyanos para Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente. Bifrose se trata de una peligrosa puerta trasera para Windows que suele comunicarse con UDP con su C&C (central de una botnet). LdPinch se trata de un troyano bancario con bastante solera (aparecido en 2003).
Los troyanos infectan el sistema al arrancar el navegador tras la instalación de los complementos para Firefox. Si el usuario no ha tomado ninguna precaución (utilizar una cuenta sin privilegios de administrador, o usar un antivirus actualizado, aunque esto último no garantiza nada) lo más probable que el sistema quede infectado. La propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG, Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de malware de forma directa, aunque esto no significa que otras marcas sean capaces de reconocer el malware por comportamiento, o gracias a su heurística, por lo que realmente no podemos conocer qué otros antivirus han podido bloquear la infección. Evidentemente, los complementos son solo el vehículo de infección, y desinstalarlos no implica la eliminación del troyano del sistema.
Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos herramientas adicionales de detección de malware, y que volvieron a analizar todos los complementos (de hecho, así detectaron que Sothink Web Video Downloader también estaba infectado).
Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo complementos infectados en su página oficial. La primera vez que se hizo público fue en mayo de 2008. Como dijo Window Snyder (responsable de seguridad de Mozilla) en aquella ocasión "estas cosas pasan".
Master Filer ha sido descargado unas 600 veces desde septiembre de 2009 y enero de 2010.
Sothink Web Video Downloader se ha descargado unas 4.000 veces desde febrero a mayo de 2008.
Master Filer fue eliminado del repositorio oficial el 25 de enero de 2010 y la versión afectada de Sothink Web Video Downloader el 2 de febrero de este año. Resulta "curioso" que se hayan percatado de este problema muchos meses después de la infección, y cuántos meses han tardado en retirar los componentes. Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron análisis diarios de los complementos. Los sistemas antivirus o cualquier otra medida tomada por Mozilla contra el malware, han resultado claramente insuficientes o ineficaces. En general, cualquier antivirus resulta insuficiente o ineficaz por sí solo, si no es acompañado de otras medidas de seguridad.
Las conclusiones vienen a ser las mismas que escribíamos hace año y medio. Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir dos nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo. Otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware.
Sergio de los Santos
Noticias Hispasec
Los troyanos infectan el sistema al arrancar el navegador tras la instalación de los complementos para Firefox. Si el usuario no ha tomado ninguna precaución (utilizar una cuenta sin privilegios de administrador, o usar un antivirus actualizado, aunque esto último no garantiza nada) lo más probable que el sistema quede infectado. La propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG, Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de malware de forma directa, aunque esto no significa que otras marcas sean capaces de reconocer el malware por comportamiento, o gracias a su heurística, por lo que realmente no podemos conocer qué otros antivirus han podido bloquear la infección. Evidentemente, los complementos son solo el vehículo de infección, y desinstalarlos no implica la eliminación del troyano del sistema.
Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos herramientas adicionales de detección de malware, y que volvieron a analizar todos los complementos (de hecho, así detectaron que Sothink Web Video Downloader también estaba infectado).
Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo complementos infectados en su página oficial. La primera vez que se hizo público fue en mayo de 2008. Como dijo Window Snyder (responsable de seguridad de Mozilla) en aquella ocasión "estas cosas pasan".
Master Filer ha sido descargado unas 600 veces desde septiembre de 2009 y enero de 2010.
Sothink Web Video Downloader se ha descargado unas 4.000 veces desde febrero a mayo de 2008.
Master Filer fue eliminado del repositorio oficial el 25 de enero de 2010 y la versión afectada de Sothink Web Video Downloader el 2 de febrero de este año. Resulta "curioso" que se hayan percatado de este problema muchos meses después de la infección, y cuántos meses han tardado en retirar los componentes. Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron análisis diarios de los complementos. Los sistemas antivirus o cualquier otra medida tomada por Mozilla contra el malware, han resultado claramente insuficientes o ineficaces. En general, cualquier antivirus resulta insuficiente o ineficaz por sí solo, si no es acompañado de otras medidas de seguridad.
Las conclusiones vienen a ser las mismas que escribíamos hace año y medio. Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir dos nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo. Otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware.
Sergio de los Santos
Noticias Hispasec
Compártenos
Comentarios/
* Los comentarios son moderados y no aparecerán hasta su aprobación
No hay más comentarios
Deja tu comentario
NORMAS DE PARTICIPACIÓN
Respetar las normas básicas de convivencia.
Respetar la dignidad de la personas y el principio de no discriminación por motivos de raza, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social.
Respetar la identidad: se eliminarán los mensajes que estén firmados por personas que usurpen la identidad de otras o que denoten una intencionalidad perversa.
Respetar la netiqueta propia de un espacio electrónico.
Cuidar la ortografía
Ajustarse al tema de debate.
Evitar mensajes comerciales.
Respetar las normas básicas de convivencia.
Respetar la dignidad de la personas y el principio de no discriminación por motivos de raza, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social.
Respetar la identidad: se eliminarán los mensajes que estén firmados por personas que usurpen la identidad de otras o que denoten una intencionalidad perversa.
Respetar la netiqueta propia de un espacio electrónico.
Cuidar la ortografía
Ajustarse al tema de debate.
Evitar mensajes comerciales.
Síguenos en
Últimas noticias 
Las más leidas
-
El accidente del Costa Concordia abrirá el debate sobre la gestión de la seguridad en los cruceros
-
MILAGRO EN EL CAMINO, LA NOVELA LARGA DE CORIN TELLADO EN INTERNET
-
“La Caja Mágica” del Cirque du Ciel, un espectáculo fascinante para un día de Navidad
-
Sherlock Holmes: a Game of Shadows (Juego de Sombras)