推 jtmh:個人覺得重點是防患於未然,套件、佈景、插件不要從不信任的 12/07 09:47
→ jtmh:地方下載安裝,要上網路銀行這類重要的網站的話,可以考慮開 12/07 09:50
→ jtmh:另外一個專用的設定檔 (profile), 只跑 Firefox 預設的東西。 12/07 09:53
這招很好,但對ChromeInject應該完全沒有用...
---
我想了很久,看了很多報導,報導裡頭寫的很曖昧(怕人模仿吧):
* 這個malware偽裝成Greasemonkey
* 安裝完全不會有任何提示
* 是以Plugins的方法存在 http://0rz.tw/f455H
看了技術原理之後,知道他是怎麼運作的
他寫入Firefox下的browser.js(是程式資料夾不是profile的!)
然後遇到特定網站時用embed呼叫plug-in紀錄密碼...
所以大概歸納出了幾個猜測:
* 這個malware應該是以「假的Greasemonkey擴充套件」下載連結存在的
* 他的安裝過程是不透過Firefox的,但仍然對Firefox有效
* 也就是說他的安裝程式應該是以諸如greasemonkey.exe的方式存在
* 一旦中標,如果不刪除Fx程式資料夾中的malware,換profile也沒用
* 這應該只是個開始,以後會有許多人前仆後繼...
至於要如何防範...嗯... Orz
只能講,裝防毒軟體幾乎是唯一防範ChromeInject系病毒的方法...
因為這種病毒是隨便打開一個exe就能讓你Firefox中標的可怕病毒...
而且更大的問題是技術面上沒有有效的方法阻止這種病毒的注入... :'(
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.247.164
推 examsystem:不要開不明EXE檔? 12/08 02:45
→ w3160828:應該是不要開來源不明的檔案 12/08 02:54
→ knives:不要開來路不明的檔案不是資安的基礎常識嗎 12/08 06:19
推 jtmh:plugin 是安裝在 [Fx 安裝目錄]/plugins 下,不是在 12/08 06:42
→ jtmh:[Fx 安裝目錄]/Profiles 內,整個 Fx 會共用一份 plugin, 12/08 06:43
→ jtmh:所以另開一個 profile 的確沒用。 12/08 06:44
推 jtmh:突然想到,裝套件 NoScript 應該有幫助,它會擋掉不信任網站 12/08 06:58
→ jtmh:想使用 plugin 的請求,不過如果是設定為信任的網站,它就不 12/08 07:00
→ jtmh:再擋掉了。另外,也許以後也會出現先把 NoScript 功能殺掉的 12/08 07:02
→ jtmh:這類 malware 吧,就像現在有些 malware 已經會先把防毒殺掉 12/08 07:03
→ jtmh:或 disable 掉了。 12/08 07:04
→ jtmh:所以最重要的還是最前面三樓講的不要開來路不明的檔案吧, 12/08 07:07
→ jtmh:使用者的觀念和習慣決定一切,手癢愛亂開的沒人救得了。 12/08 07:08
→ H45:金錢相關請愛用虛擬機器....VirtualBox, VMware 設系統快照。 12/08 16:52
推 jeta890119:我覺得預留一個更冷門的瀏覽器比較快..... 12/08 21:07
→ jeta890119:像是Swift.... 12/08 21:08
推 knight00931:swiftfox嗎?為什麼冷門? 12/09 19:22
推 jeta890119:我是說以webkit為基礎的swift 12/09 20:20
→ jeta890119:誰會吃飽沒事幹拿一個原型程式當瀏覽器阿XDDD 12/09 20:20
→ knight00931:soga 12/09 20:22
→ Ice9:布局? 12/11 04:21