Skript verhindert dass Firefox nach Updates sucht

  • Folgendes Problem: Firefox findet bei mir keine Updates mehr, auch ein Klick auf "nach Updates suchen" führt zum Ergebnis, dass keine neue Version gefunden wird. Die Suche geht aber viel zu schnell.

    Nach einiger Suche ist mir ein Addon aufgefallen, das im normalen Addons-Dialog NICHT auftaucht, sondern nur in den "Informationen zur Fehlerbehebung".

    Meine addons sind recht überschaubar:
    Erweiterungen
    Name Version Aktiviert ID
    DownThemAll! 2.0.18.1-signed true {DDC359D1-844A-42a7-9AA1-88A850A938A8}
    FlashGot 1.5.6.12.1-signed true {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
    ImageHost Grabber 1.6.5.5.1-signed true {E4091D66-127C-11DB-903A-DE80D2EFDFE8}
    RightToClick 2.9.5.1-signed true {cd617375-6743-4ee8-bac4-fbf10f35729e}
    Save Images 1.1.0.1-signed true LDSI_plashcor@gmail.com
    Save Link in Folder 1.5.16.1-signed true {7a46f9fe-4818-4837-ae4a-39c53978ae99}
    Tab Mix Plus 0.4.1.9 true {dc572301-7619-498c-a57d-39143191b318}
    Tab Updater 0.13 true {6a5b9fc2-733a-4964-a96a-958dd3f3878e} //dies ist der Übeltäter, er taucht sonst nirgends auf.
    uBlock Origin 1.2.1 true uBlock0@raymondhill.net
    Video DownloadHelper 5.4.1 true {b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    Adobe Acrobat - Create PDF 1.2 false web2pdfextension@web2pdf.adobedotcom

    Habe die XPI gelöscht, vorher aber mal bei Virustotal hochgeladen:

    https://www.virustotal.com/de/file/7dbf36…sis/1445021536/


    Die Frage stellt sich nun:
    - wie genau legt dieses Skript die Updatefunktion lahm? die about:config Einstellungen habe ich nämlich davor schon wiederhergestellt, diese waren es also nicht (mehr) - angeregt durch diesen Thread: https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=113738

    - warum wird das Addon im eigentlichen Addons-Menü vom Firefox nicht angezeigt? Ist das eine Sicherheitslücke im Firefox, denn die meisten Benutzer würden wohl HIER nach unerwünschten Addons suchen, nicht irgendwo unter "Hilfe -> Informationen zur Fehlerbehebung"

    - wie kommt das Teil auf meinen Rechner? Die XPI ist bei mir vom 2.7.2015, zu diesem Zeitpunkt wurde zumindest laut Systemsteuerung auf meinem Rechner kein Programm installiert (manchmal kann man dadurch ja den Übeltäter schon identifizieren).

  • - diese erweiterung hält spezifisch ausschau nach verbindungen zu mozilla's update, addon & blocklisten-servern und beendet jegliche verbindungsversuche dorthin
    - erweiterungen in firefox sind bislang so gut wie keine limits gesetzt und sie können so gut wie alle bereiche des programms abändern, im konkreten wurde ein stylesheet injiziert, das den eintrag im addons manager ausblendet, solange die erweiterung aktiv ist. wenn man firefox im abgesicherten modus startet, sieht man die erweiterung auch dort. diese ganze sachlage ist auch ein grund, warum mozilla in kürze nur mehr durch mozilla überprüfte und signierte erweiterungen zulassen wird: https://support.mozilla.org/de/kb/Add-on-Signierung-in-Firefox
    - es ist spekulation, aber es gibt eine hohe korrelation von leuten, bei denen diese malware auftaucht und die auch die erweiterung namens "youtube unblocker" im einsatz hatten...

    mehr infos in https://bugzilla.mozilla.org/show_bug.cgi?id=1161259

  • Beides längst geschehen, ohne Ergebnis. Auch von "extern" (PE System) wird nichts gefunden. Insteressanterweis eerkennen gerade mal 2 der Virenscanner bei Virustotal das XPI als viruelnt, obwohl erste Varianten wohl bereits im Juli 2015 aufgetaucht sidn (laut Google Suche)

    Die XPI Datei enthält übrigens größtenteils lesabren Quelltext, z.B. sowas hier:

  • Erledigt, woher habt ihr die Versionsnummern, aus dem Eintrag in about:support, oder ist die im Skript selbst versteckt?

    Zum Thema YT Unblocker: der war mal vor Ewigkeiten installiert, zum Zeitpunkt als die Updates bei mir nicht mehr funktionierten aber schon lange deaktiviert bzw. deinstalliert. Kann natürlich Zufall sein, dennoch würde mich der Infektionsweg sehr interessieren, eigentlich ist das im Augenblick sogar mein wichtigstes Anliegen. Rechner wird regelmäßig auch von "extern" (c't Notfall Windows, etc.) gescannt, aber ich bin sehr mißtrauisch was die Erkennungsquote aktueller Virenscanner anbelangt.

  • ja, aus about:support...

    die erweiterung machte sich lange nicht durch das ausschalten von updates bemerkbar sondern vermutlich durch einblendung/ersetzung von werbung etc. erst als mozilla die pläne der durchsetzung der addon-signierung bekannt gemacht hat, dürfte diese malware zusätzlich die funktion der blockierung von updates spendiert bekommen haben, damit sie auf infizierten rechnern nicht deaktiviert wird, sobald in einer neuen firefox version unsignierte erweiterungen hinausgeworfen werden...

    Einmal editiert, zuletzt von madperson (16. Oktober 2015 um 21:51)

  • Zitat von Boersenfeger

    Danke, und noch Malwarebytes... :)

    Läuft noch, da ich beim letzten Lauf kein Log gesichert hatte, werde ich hier ergänzen sobald fertig...