フィッシングのパッチ、Firefox にパスワードを保存させる


By アンドリュー・ブラント / Andrew Brandt


どのブラウザーでも、ユーザーの判断でパスワードを記憶するように設定できます。一般的に、ウェブルートでは、Zbot のようなパスワード窃盗型のトロイの木馬に簡単にパスワードを抽出されてしまうため、ブラウザーでログイン認証情報を保存しないことをおすすめしています。たとえば Firefox の場合、[ツール]、[オプション] の順にクリックして [セキュリティ] タブを開き、Web フォームに入力したパスワードをブラウザーで保存するように指定するチェックボックスをオフにします (デフォルトではこのチェックボックスはオンになっています)。

7 月に私たちの知るところとなったトロイの木馬を調べた際、このトロイの木馬は Firefox のコア ファイルを改ざんするということが判明して驚かされました。さらに詳しく調べたところ、このトロイの木馬は nsLoginManagerPrompter.js というファイルにパッチを適用します。このパッチは、数行のコード (上記参照) を書き加え、別の部分のコードをコメントアウトします。コメントアウトされるのは、セキュリティ保護されているサイトにログインしたときにパスワードの保存をユーザーに確認するかどうかを記述した部分です。

感染前の Firefox 3.6.10 のデフォルトの動作では、ユーザーが Web ページのログイン ボタンをクリックすると、パスワードを保存するかどうかを確認するメッセージが表示されます。感染後は、ブラウザーは何も尋ねることなく、すべてのログイン認証情報をローカルに保存します。

このキーロガー型のトロイの木馬は自分自身を system32 ディレクトリに Kernel.exe というファイル名でコピーし、Microsoft Internet Transfer Control DLL と呼ばれる現在は古くて使用されていない良性の ActiveX コントロール、すなわち msinet.ocx (MD5: 7BEC181A21753498B6BD001C42A42722) をドロップして登録します。このコントロールを使用して指揮管理サーバーと通信し、新しいユーザー アカウント (ユーザー名: Maestro) を感染したシステム上に作成します。

次に、このトロイの木馬は、レジストリ、IE がパスワードの保存に使用している「保護された」記憶域、Firefox 独自のパスワード記憶域から情報を抽出し、盗み出した情報を 1 分に 1 回送信しようとします。
このファイルの調査を始めたときには、このトロイの木馬が接続しようとする Web ドメインは既に閉鎖されていました。とはいえ、このトロイの木馬の内部には興味深い情報が多数含まれています。

たとえば、内部に埋め込まれていた次の文字列をご覧ください。

お会いできて光栄です、Salar “Salixem” Zeynali さん。マルウェアの作者が実名を使用して自分の功績を誇ることは珍しいことです。普通はもう少し賢いですからね。

この作者の Facebook プロフィールは簡単に見つかりました。Zeynali は掲示板の自分のプロフィールに Facebook プロフィールへのリンクを掲載していたのです。

Facebook プロフィールによると、Zeynali はイランのカラジ在住で、いかしたエモ系の髪型をしており、ヘビー メタル音楽とプログラミングが好きなようです。また、作成したキーロガーを販売していないため、Zeynali が楽しみのためにクライムウェアを作成していることは明らかです。彼は、自分が書き込んでいる掲示板でキーロガー作成ツールの無料ダウンロードを提供しています。あるバージョンの機能の一部は次のとおりです。

残念なことに、Zeynali がキーロガー コードを投稿した掲示板には多くの常連がいて、その一部は Zeynali が作成したキーロガー作成ツールを使用してトロイの木馬を作成し、拡散しています。ただし、いいニュースもあります。このトロイの木馬 (Trojan-PWS-Nslog と名付けました) は感染したコンピューターから簡単に検出して削除できます。

ウェブルートも他のウイルス対策ソフトウェア企業も、改ざんされた Firefox のファイルを修復することはできません。ただし、簡単な修復方法があります。最新の Firefox インストーラーをダウンロードし、既存の Firefox を上書きしてインストールするだけです。ブックマークやアドオンが消えることはありません。インストーラーは、改ざんされた nsLoginManagerPrompter.js ファイルを単に上書きします。これで問題は解決です。

wordpress blog stats