Zitat von boardraiderUnter Trojaner versteht man eigentlich ein Schadprogramm, das eine nützliche Funktion vortäuscht. Hier handelt es sich hier nicht um Malware im eigentlichen Sinne.
sagt dir der name "gator" etwas? das wesentliche des trojaners ist weniger, ob er eine nützlichkeit vortäuscht, sondern dass er heimlich weitere funktionen mit an bord bringt und dass er mutieren kann, d.h. seine funktionalität verändern und erweitern kann und das alles, ohne den user darüber zu informieren. (die 2te version 1.1 hat ihre funktionalität durch die versteckte fallback-extension erheblich verändert).
wie "nützlich" so eine ungefragt/heimlich installierte erweiterung ist, die mit einem versehentlichen falschen click irgendwelcher software tür und tor öffnet, und das in einem browser, der gerade um diese gefahren zu vermeiden, auf activex verzichtet, darüber lässt sich noch streiten.
Das "Verstecken" ist nur ein Merkmal und nicht ein hinreichendes. Insbesondere würde ein Rootkit nicht solche vergleichsweise lächerlichen "Tarnmaßnahmen" ergreifen.
in den anfangszeiten wurden programme als schadsoftware klassifiziert, die solche vergleichsweise lächerlichen "Tarnmaßnahmen" ergriffen haben.
und vor den fähigkeiten der meisten user sind diese tarnmaßnahmen ein hinreichender schutz (wenn da nicht noch die community wäre, die das nötige wissen weitergibt).
das entscheidende in der rechtsprechung ist nicht, ob der versuch einer straftat erfolgreich war oder ob er auf dem aktuellen stand der technik durchgeführt wurde, sondern dass das angestrebte ziel ohne einverständnis (und evtl. ohne wissen) des angegriffenen/opfers/geschädigten zu erreichen versucht wird.
auch ein ungeschickter taschendieb bleibt ein straftäter.
für das "hidden"-attribut in der fallback-extension gibt es nur eine erklärung: M$ will den user seiner entscheidungsfreiheit bezüglich der installation dieser extension berauben.
mit der vorgetäuschten funktionalität (trojaner) der deinstallierbarkeit der version 1.1 der extension ist der versuch der arglistigen täuschung gegeben.
Zusammenfassend:
Der Aufwand ist Mozilla zu groß um das Erweiterungssystem abzusichern, da sie es ohnehin als irrelevanten Ausnahmefall betrachten und zudem den User nicht mit irgendwelchen Schutzmaßnahmen belasten wollen.
was bleibt ist,
- das "hidden"-attribut in den install.rdf nicht mehr zu unterstützen,
- keine erweiterungen aus der registry zu lesen (wie schonmal geschrieben)
- und jede (auch globale) extension deinstallierbar zu machen,
- bzw. eine lokale blacklist einzuführen.
== Ergänzung ==
das fertige Script zum Entfernen der unerwünschten Extension:
(falls doch noch jemand einen Fehler findet, bitte hier melden)
@echo off & setlocal
REG DELETE "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v "{20a82645-c095-46ed-80e3-08825760534b}" /f
REG DELETE "HKLM\SOFTWARE\MozillaPlugins" /v "@microsoft.com/WPF,version=3.5" /f
RMDIR /S /Q "%WINDIR%\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension"
FOR /D %%i IN ("%APPDATA%\Mozilla\Firefox\Profiles\*") DO (
IF EXIST "%%i\prefs.js" (
FINDSTR /V "microsoftdotnet useragentswitcher.1.appname microsoft.CLR.clickonce.autolaunch extensions.enabledItems" "%%i\prefs.js" > "%%i\prefs.new.js"
FOR /F "tokens=*" %%j IN ('FINDSTR "extensions.enabledItems" "%%i\prefs.js"') DO (@SET LINE=%%j) & CALL :SUB1
MOVE "%%i\prefs.new.js" "%%i\prefs.js"
)
)
GOTO :EOF
:SUB1
SET SUBLINE=%LINE:~38,-3%
:SUB2
IF "%SUBLINE%"=="" GOTO :SUB3
FOR /F "tokens=1* delims=," %%k IN ("%SUBLINE%") Do SET "SUBSTRING=%%k" & SET SUBLINE=%%l
SET TEST=%SUBSTRING:~1,36%
IF NOT "%TEST%"=="20a82645-c095-46ed-80e3-08825760534b" SET KOMPLETT=%KOMPLETT%%SUBSTRING%,
GOTO :SUB2
:SUB3
SET NEU=%KOMPLETT:~0,-1%
ECHO user_pref("extensions.enabledItems", "%NEU%"); >> "%%i\prefs.new.js"
