Infizierte Firefox-Add-ons: Mozilla Foundation rudert halb zurück

Nach weiteren Analysen zweier als infiziert verdächtigter experimenteller Add-ons für den Browser Firefox ist die Mozilla Foundation zusammen mit den Entwicklern und dem Antivirenhersteller McAfee zu dem Schluss gekommen, dass nur eines der beiden einen Trojaner enthält. Am Wochenende hatte die Mozilla Foundation vor den Add-ons gewarnt und sie aus dem Download-Bereicht entfernt, da mehrere Antivirentools beim Scan der Module Alarm geschlagen hätten, darunter Avast, AVG, GData, Ikarus und McAfee.

Laut einem Eintrag im Add-on-Blog handelte es sich bei Version 4.0 des Sothink Web Video Downloader um einen Fehlalarm. Dieses Add-on sei nicht mit dem Passwort-Sniffer Win32.LdPinch infiziert. Das Add-on ist jetzt auch wieder über die Mozilla-Seiten verfügbar. Wie es zu dem Fehlalarm gleich bei mehreren Scanner-Herstellern kam, erklärt der Blog-Eintrag nicht.

Bei dem Master-Filer-Add-on handelte es sich jedoch um keinen Fehlalarm. Diese Modul ist wirklich mit dem Trojaner Bifrose verseucht. Allerdings hätten nach neueren Zählungen weniger als 700 Anwender das Add-on heruntergeladen – ursprünglich ging man von 6000 aus. Anwender sollten das Add-on entfernen und anschließend den PC mit einem Virenscanner desinfizieren.

Um die Entstehung von Fehlalarmen gibt es aktuell auch eine kontroverse Diskussion unter den Antivirenherstellern, nachdem Kaspersky einen Versuch unternahm, Fehlalarme bei anderen Hersteller zu provozieren. Dazu erstellten Spezialisten des Herstellers 20 harmlose Dateien und präparierten 10 Virenssignaturen so, dass sie bei 10 Dateien Fehlalarme produzierten. Alle 20 Dateien luden die Spezialisten dann auf den Online-Scanner Virustotal hoch.

Virustotal gibt jedoch eingereichte Samples an andere Sicherheitsspezialisten für Analysen weiter. In der Folge erkannten nach zehn Tagen 14 weitere Hersteller in den harmlosen Dateien eine vermeintliche Bedrohung. Kaspersky bestreitet unterdessen, andere Hersteller in Misskredit bringen zu wollen. Man wolle nur auf ein verbreitetes Problem aufmerksam machen.

In Zeiten, wo täglich mehrere zehntausend neue Samples auf die Virenanalysten einprasseln, ist eine manuelle Validierung nicht machbar. Daher arbeiten die Analysten durchaus nach dem Prinzip, die Informationen einer üblicherweise zuverlässigen Quelle zu übernehmen – und so pflanzen sich dann Fehlalarme fort. Abhilfe brächten bessere (und schnellere) dynamische Test, die eine Datei anhand ihres Verhaltens einstufen, statt anhand einer Signatur. Eset widerspricht dieser Meinung in seinem Blog und hält eine gute statische Analyse besser als eine schlechte dynamische Analyse. Das eigentliche Problem sei die fehlende Validierung – und die lässt sich offenbar nicht automatisieren.

Siehe dazu auch:

• Infizierte Add-ons auf Download-Seite von Mozilla gefunden

(dab)