Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

El plugin del idioma vietnamita para Firefox 2, ha sido distribuido desde el sitio oficial (y desde febrero) infectado con adware. Window Snyder, responsable de seguridad de Mozilla, ha dicho "todo el que haya descargado una copia del paquete de idioma vietnamita desde el 18 de febrero, está infectado".

Xorer, el malware en cuestión, había incrustado su carga en el paquete oficial de idioma vietnamita en febrero. Los responsables de Mozilla tuvieron noticia del problema el martes pasado. Al parecer, la red local del autor del plugin estaba infectada, y los archivos fueron subidos al servidor oficial contaminados con los efectos de Xorer (estos efectos son válidos bajo cualquier sistema operativo, no limitado a los usuarios de Windows), y no con el malware en sí (que se dedica a distribuir los scripts y es sólo para Windows). Al menos, esto impide en un principio que los usuarios que hayan descargado el plugin puedan distribuir el adware inmediatamente (a no ser que este cargue un nuevo módulo).

¿Cómo se infecta un plugin de Firefox? Xorer añadió JavaScript a los ficheros de ayuda HTML del plugin. Esto ha permitido al malware descargar y mostrar contenido web desde diversos servidores (publicidad no deseada, normalmente), mientras el usuario navega. Xorer había infectado (se supone que inconscientemente) la red interna del autor del plugin, y buscaba archivos HTML almacenados en las unidades a su alcance para añadirles estos scripts. Encontró la ayuda del plugin, la modificó y el paquete se distribuyó así. En el momento de ponerlo a disposición de todos, ningún sistema antivirus detectaba este HTML con los scripts añadidos. Han pasado meses hasta que el escáner o método antivirus concreto que use Mozilla ha podido dar con el problema.

Window Snyder ha declarado que "Mozilla analiza los archivos cuando son subidos al servidor. En este caso, el antivirus no cazó el malware hasta meses después de haberse subido". En cualquier caso, promete que analizarán más a menudo sus archivos para evitar que esto vuelva a ocurrir. Además, han vuelto a escanear todos los plugins disponibles de nuevo, sin detectar otros infectados.

Aunque no se conoce el número exacto de descargas del plugin infectado, se sabe que ha sido descargado más de 16.000 veces desde noviembre de 2007.

Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero un solo antivirus tampoco es la solución. De hecho, si hubiesen utilizado otros, el problema posiblemente se hubiese detectado mucho antes. Quizás otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware. Los scripts maliciosos creados con JavaScript son muy habituales hoy en día, y se ejecutan en cualquier navegador, pues ya hemos advertido de que la industria vírica ha tomado la web en todos los sentidos. Tanto para la su distribución, como para su difusión.

Snyder ha añadido "estas cosas pasan". Y es cierto. Tanto la distribución oficial de archivos (o incluso hardware) contaminado, hasta la troyanización de programas de código abierto han ocurrido en numerosas ocasiones en el pasado. A finales de 2006 Apple distribuyó Video iPods con un ejecutable (RavMonE.exe) infectado, a finales de 2007 Best Buy vendía marcos digitales con malware. En 2006 HP distribuyó por error controladores infectados por el virus FunLove... Sendmail, Wordpress, OpenSSH... han sido troyanizados en alguna ocasión y ofrecidos desde el servidor oficial de descarga. También Microsoft distribuyó en 2002 de forma involuntaria el virus Nimda en Corea del Sur con su Visual Studio.Net. Fuente

Si bien soy un feliz usuarios de Firefox y lo que dice "Snyder" sobre que estas cosas pasan es totalmente cierto, un poquito mas de cuidado para este tipo de cosas no vendría nada mal ya que por suerte para estos el problema solo afecto a las versiones en Vietnamita y no hubo mayores inconvenientes (al menos no hemos tenido usuarios Vietnamientas pidiendo ayuda por el foro ) pero si hubiera sido en la versión inglesa, el daño y las quejas hubieran sido muy difíciles de afrontar con tan solo un "estas cosas pasan"

Esperemos que este tipo de cosas sirvan para que estén mas atentos ya que hoy en día que el tema de la seguridad es tan importante, ninguna organización/compania se puede dar el lujo de ponerla en segundo plano ante los usuarios.

Salu2

Cierto , concuerdo con ElPiedra pero..... ami me paso algo extraño hace 2 semanas o menos que mi navegador fire-fox no exploraba en google , es decir , se quedaba cargando , y yo habia bajado el apquete de correcion en ingles , mi maquina se infecto de pop-ups los cuales ya fueron resueltos gracias a ElPiedra , pero tuve que borrar fie-fox ya que era una herramienta inutil .

nose si podre volver a utilizarlo :S

Hola belienller, el tema con tu caso era que tenias varias infecciones en tu maquina como la de ventanas pop-ups de CID/LOP junto con infecciones del peligros Vundo , y en esto no tiene nada que ver el navegador ya que si tu equipo esta infectado va a funcionar mal con cualquier navegador.

Que Firefox sea mucho mas seguro que IE no significa que este pueda funcionar bien si el sistema esta infectado y si como en el caso del CID que permitís instalar cuando instalas el Messenger Plus, pueda bloquear las ventanas ya que estos pop-ups salen de dentro de tu PC y no de la red.

Si bien como puse arriba considero que la gente de Firefox tendría que poner un poco mas de atención a estos casos, si infectamos nuestro PC al abrir cualquier archivo o permitiendo la infección no le podemos echar la culpa al navegador cualquier que este sea.

Salu2

buen tema la verdad me estaba pasando lo mismo pero lo solucioné :)

No creo estar infectado ni muchos de nosotros, a menos que empieze a tomar clases de Vietnamita

tienes razon.. solo que yo pense que algo asi paso .. bueno me equivoque disculpen.

PD: mi computadora ya no tiene spywares gracias ElPiedra