Primer (intento de) spyware para Gecko
A través de los foros de MozillaZine me entero de que al menos un página de búsqueda de cracks está intentando instalar spyware a través del sistema XPI que los navegadores con motor Gecko usan para instalar extensiones. Si, en cambio, el navegador es Internet Explorer la página intentará instalar un control ActiveX. El spyware que se instala en ambos casos es XXXToolbar, así que toca hacer comparaciones de navegadores otra vez, en este caso Firefox 0.8 e Internet Explorer 6 SP1 con todos los parches instalados.
En mis pruebas con Firefox no salió el cuadro de diálogo pidiéndome que instalara la extensión maliciosa (Content Access Plugin 1.01), ni siquiera al intentarlo con una instalación por defecto. En MozillaZine también hay varios usuarios que están en la misma situación, el cuadro de diálogo no aparece automáticamente, como debería al cargar la página; probablemente, porque el javascript que trata de identificar al navegador no es muy bueno. Para instalar la extensión y probar qué hace exactamente tuve que bajarla al disco duro y después abrirla con Firefox.
Tras pulsar el botón de "Instalar ahora" (o en el mensaje del control ActiveX "OK"), se instala un archivo EXE (por lo que sólo funcionará en Windows, no en Linux, ni en Mac OS X, ni en ninguna de las otras plataformas en las que funciona Firefox), que ejecuta y éste, a su vez, descarga unos cuantos archivos más. Mientras en la prueba con IE, el firewall no se quejó, pues el control ActiveX usaba el mismo navegador de Microsoft para bajar los archivos, usando Firefox, el firewall saltaba a cada archivo, avisando de las descargas y ofreciéndome detenerlas). Una vez terminada la instalación, cerré Firefox y intenté abrirlo de nuevo, para ver si había algún cambio, pero se negó a abrirse hasta que reinicié. En la prueba con Internet Explorer, al intertar abrirlo de nuevo el sistema se reinició solo.
Tras reiniciar, me llevé un chasco, pues esperaba que XXXToolbar se hubiese instalado en Firefox como una extensión, pero éste no había sufrido cambio alguno. Al parecer, los archivos que se descargan son idénticos en ambos casos (control ActiveX o XPI) y los cambios siempre se realizan siempre sobre IE. A partir de aquí, pues, ya no hay comparación posible, los dos casos son idénticos: mientras Firefox continúa igual, Internet Explorer tiene una página de inicio nueva, que está fijada mediante el registro de Windows, usa un buscador de ocio y pornografía en lugar del de MSN y luce una barra que recomienda páginas pornográficas con buscador integrado y muestra publicidad en forma de pop-ups a cada momento.
Un repaso con Spybot-S&D actualizado dió como resultado 44 problemas, entre cambios en el registro de Windows, archivos ejecutables y librerías de sistema instaladas por el spyware.
Se ha abierto un informe de bug en Bugzilla para que en la proxima versión de los navegadores Gecko no haya posibilidad de que aparezca el cuadro de descarga automáticamente. También se está preparando un centro de control de extensiones mejorado que permita desintalarlas con facilidad.
Según parece, el Service Pack 2 para Windows XP, cuando salga, desactivará por defecto (por fin) los controles ActiveX en Internet Explorer, las actualizaciones se llevarán a cabo desde el Panel de Control de Windows en el nuevo Centro de Seguridad. Asimismo, traerá una nueva versión de IE, la 6.05, que vendrá con la posibilidad de instalar (mediante controles ActiveX) y desintalar add-ons (similar a las extensiones de Mozilla y Mozilla Firefox) desde un panel de control en el navegador. No está claro si Internet Explorer 6.05 estará disponible para otras versiones de Windows distintas de XP.
En mis pruebas con Firefox no salió el cuadro de diálogo pidiéndome que instalara la extensión maliciosa (Content Access Plugin 1.01), ni siquiera al intentarlo con una instalación por defecto. En MozillaZine también hay varios usuarios que están en la misma situación, el cuadro de diálogo no aparece automáticamente, como debería al cargar la página; probablemente, porque el javascript que trata de identificar al navegador no es muy bueno. Para instalar la extensión y probar qué hace exactamente tuve que bajarla al disco duro y después abrirla con Firefox.
Tras pulsar el botón de "Instalar ahora" (o en el mensaje del control ActiveX "OK"), se instala un archivo EXE (por lo que sólo funcionará en Windows, no en Linux, ni en Mac OS X, ni en ninguna de las otras plataformas en las que funciona Firefox), que ejecuta y éste, a su vez, descarga unos cuantos archivos más. Mientras en la prueba con IE, el firewall no se quejó, pues el control ActiveX usaba el mismo navegador de Microsoft para bajar los archivos, usando Firefox, el firewall saltaba a cada archivo, avisando de las descargas y ofreciéndome detenerlas). Una vez terminada la instalación, cerré Firefox y intenté abrirlo de nuevo, para ver si había algún cambio, pero se negó a abrirse hasta que reinicié. En la prueba con Internet Explorer, al intertar abrirlo de nuevo el sistema se reinició solo.
Tras reiniciar, me llevé un chasco, pues esperaba que XXXToolbar se hubiese instalado en Firefox como una extensión, pero éste no había sufrido cambio alguno. Al parecer, los archivos que se descargan son idénticos en ambos casos (control ActiveX o XPI) y los cambios siempre se realizan siempre sobre IE. A partir de aquí, pues, ya no hay comparación posible, los dos casos son idénticos: mientras Firefox continúa igual, Internet Explorer tiene una página de inicio nueva, que está fijada mediante el registro de Windows, usa un buscador de ocio y pornografía en lugar del de MSN y luce una barra que recomienda páginas pornográficas con buscador integrado y muestra publicidad en forma de pop-ups a cada momento.
Un repaso con Spybot-S&D actualizado dió como resultado 44 problemas, entre cambios en el registro de Windows, archivos ejecutables y librerías de sistema instaladas por el spyware.
Se ha abierto un informe de bug en Bugzilla para que en la proxima versión de los navegadores Gecko no haya posibilidad de que aparezca el cuadro de descarga automáticamente. También se está preparando un centro de control de extensiones mejorado que permita desintalarlas con facilidad.
Según parece, el Service Pack 2 para Windows XP, cuando salga, desactivará por defecto (por fin) los controles ActiveX en Internet Explorer, las actualizaciones se llevarán a cabo desde el Panel de Control de Windows en el nuevo Centro de Seguridad. Asimismo, traerá una nueva versión de IE, la 6.05, que vendrá con la posibilidad de instalar (mediante controles ActiveX) y desintalar add-ons (similar a las extensiones de Mozilla y Mozilla Firefox) desde un panel de control en el navegador. No está claro si Internet Explorer 6.05 estará disponible para otras versiones de Windows distintas de XP.
6 comentarios
Anónimo -
D4 -
Ya hay al menos otro sitio (con otro plugin distinto) que usa este sistema para instalar spyware. Igual que en este caso, una vez instalado sólo afecta a IE.
angel -
http://www.xxxtoolbar.com/ist/softwares/v3.0/ist_netscape.xpi
faemino -
D4 -
Por otra parte, en Firefox, aunque es más difícil equivocarse de botón ("Instalar ahora" no deja muchas dudas), permitir lanzar la ventana de instalación de extensiones mediante javascript me parece un descuido importante que, esperemos, tarden poco en arreglar.
Nkieto -