Nieuws
image

Firefox plugin detecteert besmette websites

vrijdag 16 april 2010, 12:40 door Redactie, 19 reacties

Beveiligingsonderzoeker Stephan Chenette heeft een Firefox plugin uitgebracht die kwaadaardige websites kan herkennen. Fireshark, zoals de plugin heet, werd tijdens de Black Hat Europe conferentie onthuld. De opensource tool moet tekortkomingen in andere programma's voor het analyseren van kwaadaardige websites oplossen. Het vinden van

"Het vinden van gelijkenissen en gemeenschappelijke patronen tussen deze websites, zoals redirectors die tot dezelfde IP, IP-range of ASN behoren, en de reconstructie van de geobfusceerde code is tijdrovend en in sommige gevallen zelfs soms zelfs onmogelijk", aldus de onderzoeker. FireShark kan tegelijkertijd een groot aantal websites bezoeken en de inhoud analyseren.

Virtual machine
Het gaat dan zowel om kwaadaardige als gehackte websites. De afgelopen twaalf maanden is het aantal gehackte websites met 225% toegenomen, zegt Chenette. "Dat betekent dat aanvallers steeds meer de content controleren die gebruikers te zijn krijgen."

FireShark draait in een virtual machine om infectie te voorkomen. Gebruikers kunnen zelf websites opgeven voor analyse, die de plugin dan controleert. Veel van de kwaadaardige code is geobfusceerd, maar moet in de browser draaien om te werken. FireShark laat zo de code zien, die anders niet zichtbaar is.

Reacties (19)
16-04-2010, 12:49 door Anoniem
Hij is (nog) niet op de offici?le addons pagina van Firefox te vinden dus ik installeer hem niet.

https://addons.mozilla.org/en-US/firefox/search?q=fireshark&cat=all
16-04-2010, 13:03 door Anoniem
Ja... hiep hiep.. hoera... plug-in 92341. Het zou verboden moeten worden.
16-04-2010, 13:32 door JackPoint
Door Anoniem: Hij is (nog) niet op de offici?le addons pagina van Firefox te vinden dus ik installeer hem niet.

https://addons.mozilla.org/en-US/firefox/search?q=fireshark&cat=all
http://fireshark.org/fireshark.xpi
16-04-2010, 14:38 door [Account Verwijderd]
[Verwijderd]
16-04-2010, 17:12 door Anoniem
Nou ja, ik kopieer de link van fireshark en avast schiet in het rood. Threat detected. Is dit veilig?
16-04-2010, 17:18 door Zipper306
Opera hoort hier niet thuis gezien zijn markt aandeel van 0,002 procent
16-04-2010, 18:55 door FightForMore
Ik zal deze plugin zeker gebruiken, voor de veiligheid. Want soms zie je niet of het een gehackte site is of niet .
16-04-2010, 19:15 door Anoniem
Ehm goed lezen, geintroduceerd op een blackhat conferentie. Hm, leuke manier om je achterdeurtje aan de man te brengen.. :P
16-04-2010, 19:38 door Anoniem
Wanneer ik hem probeer te downloaden, krijg ik een melding van Avast! (Trojaans paard).
Ik vertrouw het dus niet helemaal.
16-04-2010, 19:46 door Anoniem
zoiets zit toch al in seamonkey?
16-04-2010, 20:21 door Anoniem
Mooie site hoor die http://fireshark.org/ :

Website geblokkeerd!
G Data TotalCare 2010 heeft de toegang tot deze webpagina geweigerd.
De pagina bevat schadelijke code: JS:ScriptPE-inf [Trj] (Engine B).
16-04-2010, 21:14 door Anoniem
GData blokkeert de download van website Fireshark. Dus of het wel zo veilig is, dat betwijfel ik.
16-04-2010, 21:37 door Skizmo
Je virusscanner doet dit, Google doet dit (zels als je het niet wilt), hebben nu echt nog een browser plugin nodig ?
17-04-2010, 01:19 door Anoniem
Door JackPoint:
Door Anoniem: Hij is (nog) niet op de offici?le addons pagina van Firefox te vinden dus ik installeer hem niet.

https://addons.mozilla.org/en-US/firefox/search?q=fireshark&cat=all
http://fireshark.org/fireshark.xpi

Mijn virus scanner slaat op hol als ik op deze link klik.
17-04-2010, 09:31 door Anoniem
Volgens Gdata is dit bestand geïnfecteerd.

Ook VirusTotal gaf in totaal 3 meldingen bij het checken.

http://www.virustotal.com/analisis/85cb4a8a0e5163ff3b6fc2d54b356c67c0aa1dc219289aee976a418e4d4afe1f-1271407870
17-04-2010, 15:59 door Anoniem
Waar is de code?
17-04-2010, 16:35 door Rene V
Ja en omdat Avast en GData de enige zijn die dit detecteren moet het wel geïnfecteerd zijn en kan het nooit never een false positive zijn. o_0
18-04-2010, 18:55 door Anoniem
@René V

Mocht je het bestand kunnen downloaden dan even scannen op Virustotal en Jotti.

Ik krijg de plugin echter nog steeds niet te zien op de officiele addons pagina van Mozilla https://addons.mozilla.org/en-US/firefox/search?q=fireshark&cat=all

Dus ik installeer het absoluut niet.
19-04-2010, 18:42 door Rene V
Door Anoniem: @René V

Mocht je het bestand kunnen downloaden dan even scannen op Virustotal en Jotti.

Ik krijg de plugin echter nog steeds niet te zien op de officiele addons pagina van Mozilla https://addons.mozilla.org/en-US/firefox/search?q=fireshark&cat=all

Dus ik installeer het absoluut niet.

Verstandig! :-)
Ik had 'm geïnstalleerd maar ook weer verwijderd. Het lijkt me vooralsnog toch nog steeds een false positive. Maar better safe than sorry. :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure