Adware schakelt beveiligingsfilter Firefox uit
De makers van adware passen steeds agressievere technieken toe wat de veiligheid van computers in gevaar brengt. Zo kondigde Microsoft deze week maatregelen aan tegen agressieve adware en blijkt ook uit een analyse van anti-malwarebedrijf Malwarebytes dat adware zeer schadelijk kan zijn.
De adware in kwestie heet Mintcast en wordt via andere software en softwarebundels op systemen geïnstalleerd. Mintcast heeft het tonen van advertenties als doel, maar schakelt ook het beveiligingsfilter van Firefox uit. Firefox beschikt over Safebrowsing, een filter dat gebruikers voor phishingsites en websites met malware waarschuwt. Mintcast schakelt het filter uit, zodat gebruikers geen waarschuwing bij dergelijke websites meer krijgen.
Voor het uitschakelen van het filter maakt de adware in het Firefoxprofiel een user.js-bestand aan. Vanwege de manier waarop Firefox werkt zullen de instellingen in het js-bestand altijd worden gekozen boven de instellingen in de browser zelf. Als gebruikers het filter via het browsermenu inschakelen zal die na een herstart weer zijn uitgeschakeld. Alleen door het verwijderen of aanpassen van het js-bestand kan het filter weer permanent worden ingeschakeld.
Dat is interessant. Plaats een lege map in de FF profielmap, noem deze user.js en de installer kan het echte bestand niet in de profielmap installeren?
Doet me denken aan een virus lang geleden voor MacOs, genaamd Graphics-Accelerator dat een kwaadaardige extensie niet kon installeren als in de extensiemap een lege map werd geplaatst met de naam van het virus vooraf gegaan door enkele specifieke èn onzichtbare symbolen en dat simpel omdat het Os niet toelaat/toeliet dat een map vervangen wordt door een bestand. Maar ja, dat waren andere tijden vergeleken met nu.
Maak een leeg tekstbestand aan, sla het op als user.js en kopieer dit naar elke Firefox profielmap gelokaliseerd in C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\
geen leeg tekstbestand maar een waar de onderstaande tekst in staat.
Dat is wat duidelijker als je het later nog wilt weten wat er aan de hand was met dat bestand.
De // tekens zijn comments in javascript.
// Leeg javascript bestand ivm eventuele Mintcast Adware
// zie
// https://www.security.nl/posting/455603/Adware+schakelt+beveiligingsfilter+Firefox+uit
// Dit bestand moet heten:
// user.js
// en moet in de profielmap van Firefox staan
Als er een map of bestand in die directie staat dan kan er geen user.js meer aangemaakt worden.
Net nog even geprobeerd.
Groet
Maak een leeg tekstbestand aan, sla het op als user.js en kopieer dit naar elke Firefox profielmap gelokaliseerd in C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\
Er kan maar 1 bestand of directory met dezelfde naam bestaan. Als je dus een directory aanmaakt met deze naam kan er niet een bestand met die naam daar worden opgeslagen.
Een bestand kan eenvoudig worden overschreven. Je kunt de rechten van het bestand wel weghalen, maar die kunnen soms ook weer terug worden geplaatst. Eerst een directory herkennen, verwijderen en dan een bestand wegschrijven, ligt programmatisch minder voor de hand.
Maak een leeg tekstbestand aan, sla het op als user.js en kopieer dit naar elke Firefox profielmap gelokaliseerd in C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\
Er kan maar 1 bestand of directory met dezelfde naam bestaan. Als je dus een directory aanmaakt met deze naam kan er niet een bestand met die naam daar worden opgeslagen.
Een bestand kan eenvoudig worden overschreven. Je kunt de rechten van het bestand wel weghalen, maar die kunnen soms ook weer terug worden geplaatst. Eerst een directory herkennen, verwijderen en dan een bestand wegschrijven, ligt programmatisch minder voor de hand.
Met betrekking tot de laatste alinea hierboven: daarom moest het ook een map zijn. Een leeg tekstbestand werd door het virus volledig overschreven met kwaadaardige extensiecode en de Type-ID werd probleemloos veranderd van TEXT naar INIT.
Maar of dat de truc nu nog opgaat? Ik weet het dus niet. Ten eerste ga ik niet experimenteren met MalWare want ik heb daar de kennis niet voor en nog afgezien daarvan zie ik dat als ik bijv. een PDF dubbel download in een map/directory het dubbele bestand het eerste bestand van een (1) voorziet. En dat gebeurt tegenwoordig zowel in OSX als in Windows. Misschien in Linux ook?
Mintcast weet ook hiervan de automatische updates uit te schakelen.
Dat is ten tijde van Mac OS 7 (System 7) ver voor introductie van Mac OS X !
https://en.wikipedia.org/wiki/INIT_1984
By the way, jij bent toch een van de weinigen die weer helemaal terug over is op pc?
waarom Moeilijk doen als het zinniger kan?
Gewoon een (enkele of veel meer) nuttige aanpassing(en) maken in je Firefox about:config kan ook, sterker nog, is een stuk zinniger (mits juist toegepast).
Niet vanwege een malware dreiging (Linux/Mac) maar als aanvulling op je privacy maatregelen.
Daarnaast hebben sommigen deze settings al uitgeschakeld omdat ze de geïmplementeerde google safebrowsing techniek beschouwen als een aanslag op hun privacy (wat een beetje onzinnig is).
Extra aanpassingen maken dus onder de about:config maken ten behoeve van privacy / security.
'Goed bezig' dan om anderen (lees jongere, iets te enthousiaste experimenteer-lustige gebruikertjes) daartoe wel over te halen!
Alleereerst het volgende:
file = bestand
map = folder = directory
Aha op 25-12-2015, 13:15
Aha haalt een Engelse text aan waarin duidelijk staat FILE
Daarna begint hij te praten over een MAP die hij wil plaatsen in een "profielmap".
Weet Aha wel het verschil tussen file en map??
25-12-2015, 17:56 door Anoniem
Deze lezer ziet de slordigheid. Bravo!
26-12-2015, 04:33 door Anoniem
Deze lezer beaamt het voorgaande en praat over
- de eerste RECTIE. Bedoelt hij erectie of reactie?
- verder heeft hij het over een DIRECTIE. Bedoelt hij Raad van Bestuur?
26-12-2015, 14:48 door Anoniem
Deze lezer schrijft:
Oh maar dit gebeurd niet alleen maar bij Firefox. Dit gebeurd ook ......
Beste Anoniem: Het werkwoord in jouw zinnen is derde persoon enkelvoud tegenwoordige tijd en moet eindigen op een T (de letter T) en niet D (de letter D).
Je schrijft toch ook niet: hij loopd !!!
Tenslotte rest nog de vraag te beantwoorden: moet het een file of een map zijn?
Laat maar zitten, voor mij hoeft het niet meer na al die geschreven rommel.
Jan
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
