lunes, febrero 08, 2010

Mozilla distribuye (otra vez) plugins para Firefox infectados con malware desde el sitio oficial

En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del
idioma vietnamita para Firefox 2 infectado con adware. Aunque prometió
literalmente "analizar más a menudo sus archivos para evitar que esto
vuelva a ocurrir" se acaba de descubrir que dos plugins infectados con
malware para Windows han estado disponibles desde su página oficial.

La fundación Mozilla ha informado que dos complementos "experimentales"
para el navegador Firefox contenían troyanos para Windows. En concreto,
la versión 4.0 de Sothink Web Video Downloader y todas las versiones de
Master Filer. Estaban infectados con LdPinch.gen y Bifrose
respectivamente. Bifrose se trata de una peligrosa puerta trasera para
Windows que suele comunicarse con UDP con su C&C (central de una
botnet). LdPinch se trata de un troyano bancario con bastante solera
(aparecido en 2003).

Los troyanos infectan el sistema al arrancar el navegador tras la
instalación de los complementos para Firefox. Si el usuario no ha tomado
ninguna precaución (utilizar una cuenta sin privilegios de
administrador, o usar un antivirus actualizado, aunque esto último no
garantiza nada) lo más probable que el sistema quede infectado. La
propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG,
Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de
malware de forma directa, aunque esto no significa que otras marcas sean
capaces de reconocer el malware por comportamiento, o gracias a su
heurística, por lo que realmente no podemos conocer qué otros antivirus
han podido bloquear la infección. Evidentemente, los complementos son
solo el vehículo de infección, y desinstalarlos no implica la
eliminación del troyano del sistema.

Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos
herramientas adicionales de detección de malware, y que volvieron a
analizar todos los complementos (de hecho, así detectaron que Sothink
Web Video Downloader también estaba infectado).

Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo
complementos infectados en su página oficial. La primera vez que se hizo
público fue en mayo de 2008. Como dijo Window Snyder (responsable de
seguridad de Mozilla) en aquella ocasión "estas cosas pasan".

Master Filer ha sido descargado unas 600 veces desde septiembre de 2009
y enero de 2010. Sothink Web Video Downloader se ha descargado unas
4.000 veces desde febrero a mayo de 2008. Master Filer fue eliminado del
repositorio oficial el 25 de enero de 2010 y la versión afectada de
Sothink Web Video Downloader el 2 de febrero de este año. Resulta
"curioso" que se hayan percatado de este problema muchos meses después
de la infección, y cuántos meses han tardado en retirar los componentes.
Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron
análisis diarios de los complementos. Los sistemas antivirus o cualquier
otra medida tomada por Mozilla contra el malware, han resultado
claramente insuficientes o ineficaces. En general, cualquier antivirus
resulta insuficiente o ineficaz por sí solo, si no es acompañado de
otras medidas de seguridad.

Las conclusiones vienen a ser las mismas que escribíamos hace año y
medio. Confiar exclusivamente en la detección en un momento concreto, y
no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el
mayor error por parte de la Fundación Mozilla. Hoy en día las firmas
pueden tardar meses, como ha sido el caso, en ser añadidas y poder
detectar (de forma estática) un archivo infectado. No sabemos qué
métodos usa Mozilla para analizar sus archivos, pero el añadir dos
nuevos métodos antivirus puede mitigar el problema aunque no tiene por
qué solucionarlo. Otra lección importante es que no hay que relajarse
por pensar que solo los archivos ejecutables o binarios son susceptibles
de estar infectados o de ser específicamente malware.

No hay comentarios.:

El Portal con lo último en tecnología. Información relevante sobre avances en cualquier ciencia o materia de interés general.