Trojaner zwingt Firefox zum heimlichen Speichern von Passwörtern [Update]

Statt alle Tastatureingaben mitzulesen, soll sich ein kürzlich von Webroot analysierter Schädling darauf verlassen, dass Kennwörter für Webseiten im Passwortspeicher des Browsers liegen. Damit er dort auch alle interessanten Passwörter vorfindet, hilft der Trojan-PWS-Nslog getaufte Schädling bei Firefox ein bisschen nach: Durch wenige Manipulationen in einer zu Firefox gehörenden Java-Script-Datei bringt er den Browser dazu, Login-Daten automatisch und ohne Nachfrage beim Anwender zu speichern.

Dazu kommentiert der Schädling unter anderem die Nachfrage von Firefox in der Datei nsLoginManagerPrompter.js einfach aus und fügt eine Zeile zum automatischen Speichern hinzu. heise Security konnte die Wirksamkeit der Manipulationen nachvollziehen – die der Malware-Autor vermutlich einem bereits seit 2009 bekannten Workaround entlehnt hat.

Normalerweise fragt Firefox beim Anwender nach, ob er die Daten speichern soll; viele Anwender verneinen aus Sicherheitsgründen die Nachfrage, weil Schädlinge im Passwortspeicher zuerst nachschauen und die ausgelesenen Daten verschicken. Auch PWS-Nslog versucht, die Daten minütlich aus den Speichern des Internet Explorer und Firefox auszulesen und an einen Server zu verschicken.

Nach Analysen von Webroot hat sich der Autor der Malware keine Mühe gegeben, seine Spuren zu verwischen. Im Schädling finden sich ein Name nebst GMail-Adresse. Darüber stieß Webroot schnell auf die Facebook-Seite des vorgeblich iranischen Entwicklers, der nach eigenen Angaben aus Spaß Crimeware programmiert.

[Update:] Die Manipulation funktioniert prinzipiell auf allen Plattformen, auf denen der Trojaner die Rechte zur Änderung der Datei nsLoginManagerPrompter.js hat. Im Test funktionierte dies sowohl unter Windows XP, Windows 7 und Ubuntu 10.04. Unter Windows 7 und Ubuntu arbeitet der Anwender jedoch standardmäßig mit eingeschränkten Rechten, sodass ein Schädling dort ohne weitere Tricks die Datei nicht manipulieren kann. (dab)