Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial

El plugin del idioma vietnamita para Firefox 2, ha sido distribuido
desde el sitio oficial (y desde febrero) infectado con adware. Window
Snyder, responsable de seguridad de Mozilla, ha dicho “todo el que haya
descargado una copia del paquete de idioma vietnamita desde el 18 de
febrero, está infectado”.

Xorer, el malware en cuestión, había incrustado su carga en el paquete
oficial de idioma vietnamita en febrero. Los responsables de Mozilla
tuvieron noticia del problema el martes pasado. Al parecer, la red local
del autor del plugin estaba infectada, y los archivos fueron subidos al
servidor oficial contaminados con los efectos de Xorer (estos efectos
son válidos bajo cualquier sistema operativo, no limitado a los usuarios
de Windows), y no con el malware en sí (que se dedica a distribuir los
scripts y es sólo para Windows). Al menos, esto impide en un principio
que los usuarios que hayan descargado el plugin puedan distribuir el
adware inmediatamente (a no ser que este cargue un nuevo módulo).

¿Cómo se infecta un plugin de Firefox?

Xorer añadió JavaScript a los ficheros de ayuda HTML del plugin. Esto ha permitido al malware
descargar y mostrar contenido web desde diversos servidores (publicidad
no deseada, normalmente), mientras el usuario navega. Xorer había
infectado (se supone que inconscientemente) la red interna del autor del
plugin, y buscaba archivos HTML almacenados en las unidades a su alcance
para añadirles estos scripts. Encontró la ayuda del plugin, la modificó
y el paquete se distribuyó así. En el momento de ponerlo a disposición
de todos, ningún sistema antivirus detectaba este HTML con los scripts
añadidos. Han pasado meses hasta que el escáner o método antivirus
concreto que use Mozilla ha podido dar con el problema.

Window Snyder ha declarado que “Mozilla analiza los archivos cuando
son subidos al servidor. En este caso, el antivirus no cazó el malware
hasta meses después de haberse subido”. En cualquier caso, promete que
analizarán más a menudo sus archivos para evitar que esto vuelva a
ocurrir. Además, han vuelto a escanear todos los plugins disponibles
de nuevo, sin detectar otros infectados.

Aunque no se conoce el número exacto de descargas del plugin infectado,
se sabe que ha sido descargado más de 16.000 veces desde noviembre de
2007.

Confiar exclusivamente en la detección en un momento concreto, y no
analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor
error por parte de la Fundación Mozilla. Hoy en día las firmas pueden
tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de
forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla
para analizar sus archivos, pero un solo antivirus tampoco es la
solución. De hecho, si hubiesen utilizado otros, el problema
posiblemente se hubiese detectado mucho antes. Quizás otra lección
importante es que no hay que relajarse por pensar que solo los archivos
ejecutables o binarios son susceptibles de estar infectados o de ser
específicamente malware. Los scripts maliciosos creados con JavaScript
son muy habituales hoy en día, y se ejecutan en cualquier navegador,
pues ya hemos advertido de que la industria vírica ha tomado la web en
todos los sentidos. Tanto para la su distribución, como para su
difusión.

Snyder ha añadido “estas cosas pasan”. Y es cierto. Tanto la
distribución oficial de archivos (o incluso hardware) contaminado,
hasta la troyanización de programas de código abierto han ocurrido en
numerosas ocasiones en el pasado. A finales de 2006 Apple distribuyó
Video iPods con un ejecutable (RavMonE.exe) infectado, a finales de
2007 Best Buy vendía marcos digitales con malware. En 2006 HP distribuyó
por error controladores infectados por el virus FunLove… Sendmail,
Wordpress, OpenSSH… han sido troyanizados en alguna ocasión y
ofrecidos desde el servidor oficial de descarga. También Microsoft
distribuyó en 2002 de forma involuntaria el virus Nimda en Corea del
Sur con su Visual Studio .Net.

Fuente: hispasec.com

Deja un comentario