Nieuws
image

Koobface worm steelt Firefox cookies

vrijdag 4 september 2009, 11:46 door Redactie, 3 reacties

Koobface is met meer dan duizend varianten de gevaarlijkste worm op sociale netwerken zoals Twitter. Myspace en Facebook, en nu heeft de malware het ook op Firefox-gebruikers voorzien. Om zich te verspreiden gebruikt Koobface de profielen van besmette gebruikers en stuurt dan linkjes naar kwaadaardige websites en besmette video codecs naar iedereen in de contactenlijst. Al vorige varianten keken alleen naar de cookies van Internet Explorer, aangezien Firefox de cookies op een andere locatie en in een ander formaat bewaart.

Via een bekende hack is de virusschrijver er nu toch in geslaagd om toegang tot de inloggegevens van Firefox-gebruikers te krijgen. Het doet dit door naar een kopie van het sqlite3.dll bestand te zoeken. Daarmee kan het de sociale netwerk cookies stelen, waarvan het de informatie vervolgens toevoegt aan een Internet Explorer cookie. Op deze manier blijft de rest van de worm hetzelfde werken. Volgens Andrew Brandt van Webroot laat deze ontwikkeling zien dat het marktaandeel van Firefox nu groot genoeg is dat virusschrijvers hier specifiek tools voor ontwikkelen.

Reacties (3)
04-09-2009, 12:38 door spatieman
dit is scary shit dus.
04-09-2009, 13:10 door rob
"via een bekend hack" -> sqlite is geen hack, tis gewoon een database library en format. Volgens mij is dit opzettelijk zo genoemd om de suggestie te wekken dat dit een veiligheidsprobleem is met firefox (wat dus niet zo is). Het suggereert ook dat de virusschrijver het van die site heeft 'afgekeken', terwijl dat dus niet zo hoeft te zijn, aangezien hier geen sprake is van iets zeer bijzonders.

Uit het bron artikel:

"Using a well-documented hack to access the Firefox cookie file, the payload (appropriately named ff2ie.exe) looks for a copy of the file sqlite3.dll on the victims hard drive"

Werkt dus alleen onder windows.

Wat ik wel jammer vind is dat ik in het artikel niets kan vinden over welke exploit wordt gebruikt door dit virus om de executable uit te voeren...
04-09-2009, 13:17 door rob
@spatieman: Toch niet zo scary:

http://www.enigmasoftware.com/koobface-worm-attacks-facebook-and-myspace-users

If a Facebook user clicks on the link provided by the spam message, he/she is sent to a video website meant to mimic YouTube which will pop-up a message that tells the user that their Flash Player is outdated and to download the latest version to view a video. The download file is really the Koobface worm disguised as an executable file called flash_player.exe.

Oftewel: Non-nieuws

Het uitlezen van een sqlite database is eenvoudigweg de open source library gebruiken. Niks nieuws. Alleen dan dat het voor firefox op windows is geschreven..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure