Skript verhindert dass Firefox nach Updates sucht

Jackie78

Folgendes Problem: Firefox findet bei mir keine Updates mehr, auch ein Klick auf "nach Updates suchen" führt zum Ergebnis, dass keine neue Version gefunden wird. Die Suche geht aber viel zu schnell.

Nach einiger Suche ist mir ein Addon aufgefallen, das im normalen Addons-Dialog NICHT auftaucht, sondern nur in den "Informationen zur Fehlerbehebung".

Meine addons sind recht überschaubar:
Erweiterungen
Name Version Aktiviert ID
DownThemAll! 2.0.18.1-signed true {DDC359D1-844A-42a7-9AA1-88A850A938A8}
FlashGot 1.5.6.12.1-signed true {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
ImageHost Grabber 1.6.5.5.1-signed true {E4091D66-127C-11DB-903A-DE80D2EFDFE8}
RightToClick 2.9.5.1-signed true {cd617375-6743-4ee8-bac4-fbf10f35729e}
Save Images 1.1.0.1-signed true LDSI_plashcor@gmail.com
Save Link in Folder 1.5.16.1-signed true {7a46f9fe-4818-4837-ae4a-39c53978ae99}
Tab Mix Plus 0.4.1.9 true {dc572301-7619-498c-a57d-39143191b318}
Tab Updater 0.13 true {6a5b9fc2-733a-4964-a96a-958dd3f3878e} //dies ist der Übeltäter, er taucht sonst nirgends auf.
uBlock Origin 1.2.1 true uBlock0@raymondhill.net
Video DownloadHelper 5.4.1 true {b9db16a4-6edc-47ec-a1f4-b86292ed211d}
Adobe Acrobat - Create PDF 1.2 false web2pdfextension@web2pdf.adobedotcom

Habe die XPI gelöscht, vorher aber mal bei Virustotal hochgeladen:

https://www.virustotal.com/de/file/7dbf36…sis/1445021536/

Die Frage stellt sich nun:
- wie genau legt dieses Skript die Updatefunktion lahm? die about:config Einstellungen habe ich nämlich davor schon wiederhergestellt, diese waren es also nicht (mehr) - angeregt durch diesen Thread: https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=113738

- warum wird das Addon im eigentlichen Addons-Menü vom Firefox nicht angezeigt? Ist das eine Sicherheitslücke im Firefox, denn die meisten Benutzer würden wohl HIER nach unerwünschten Addons suchen, nicht irgendwo unter "Hilfe -> Informationen zur Fehlerbehebung"

- wie kommt das Teil auf meinen Rechner? Die XPI ist bei mir vom 2.7.2015, zu diesem Zeitpunkt wurde zumindest laut Systemsteuerung auf meinem Rechner kein Programm installiert (manchmal kann man dadurch ja den Übeltäter schon identifizieren).

Boersenfeger

Adwcleaner und Malwarebytes durchführen...

madperson

- diese erweiterung hält spezifisch ausschau nach verbindungen zu mozilla's update, addon & blocklisten-servern und beendet jegliche verbindungsversuche dorthin
- erweiterungen in firefox sind bislang so gut wie keine limits gesetzt und sie können so gut wie alle bereiche des programms abändern, im konkreten wurde ein stylesheet injiziert, das den eintrag im addons manager ausblendet, solange die erweiterung aktiv ist. wenn man firefox im abgesicherten modus startet, sieht man die erweiterung auch dort. diese ganze sachlage ist auch ein grund, warum mozilla in kürze nur mehr durch mozilla überprüfte und signierte erweiterungen zulassen wird: https://support.mozilla.org/de/kb/Add-on-Signierung-in-Firefox
- es ist spekulation, aber es gibt eine hohe korrelation von leuten, bei denen diese malware auftaucht und die auch die erweiterung namens "youtube unblocker" im einsatz hatten...

mehr infos in https://bugzilla.mozilla.org/show_bug.cgi?id=1161259

Jackie78

Beides längst geschehen, ohne Ergebnis. Auch von "extern" (PE System) wird nichts gefunden. Insteressanterweis eerkennen gerade mal 2 der Virenscanner bei Virustotal das XPI als viruelnt, obwohl erste Varianten wohl bereits im Juli 2015 aufgetaucht sidn (laut Google Suche)

Die XPI Datei enthält übrigens größtenteils lesabren Quelltext, z.B. sowas hier:

Code

Utils.prototype.addonHide = function(guid) {
		Components.utils.import("resource://gre/modules/Services.jsm");
		var sss = Components.classes["@mozilla.org/content/style-sheet-service;1"]
			.getService(Components.interfaces.nsIStyleSheetService);		

		var css		= config.user_sheet.replace(/extension_id/g, guid);
		var data	= "data:text/css" + ";base64," + this.btoa(css);
		var uri		= Services.io.newURI(data, null, null);
		//console.log("uri css", uri);

		if(!sss.sheetRegistered(uri, sss.USER_SHEET)) {
			//console.log("addonHide: is not registered, do it!!");
			sss.loadAndRegisterSheet(uri, sss.USER_SHEET);
		}
		else {
			//console.log("addonHide: is registered");
		}
	};

Alles anzeigen

madperson

magst du die xpi noch zu dokumentatioszwecken an den genannten bug anhängen?

Jackie78

Erledigt, woher habt ihr die Versionsnummern, aus dem Eintrag in about:support, oder ist die im Skript selbst versteckt?

Zum Thema YT Unblocker: der war mal vor Ewigkeiten installiert, zum Zeitpunkt als die Updates bei mir nicht mehr funktionierten aber schon lange deaktiviert bzw. deinstalliert. Kann natürlich Zufall sein, dennoch würde mich der Infektionsweg sehr interessieren, eigentlich ist das im Augenblick sogar mein wichtigstes Anliegen. Rechner wird regelmäßig auch von "extern" (c't Notfall Windows, etc.) gescannt, aber ich bin sehr mißtrauisch was die Erkennungsquote aktueller Virenscanner anbelangt.

madperson

ja, aus about:support...

die erweiterung machte sich lange nicht durch das ausschalten von updates bemerkbar sondern vermutlich durch einblendung/ersetzung von werbung etc. erst als mozilla die pläne der durchsetzung der addon-signierung bekannt gemacht hat, dürfte diese malware zusätzlich die funktion der blockierung von updates spendiert bekommen haben, damit sie auf infizierten rechnern nicht deaktiviert wird, sobald in einer neuen firefox version unsignierte erweiterungen hinausgeworfen werden...

Boersenfeger

Bitte poste die Logdateien in der Klammer Code... ich möchte mich von der Harmlosigkeit gern selbst überzeugen... Persönliches kannst du XXXXXXXXXXX

Jackie78

Code

# AdwCleaner v5.013 - Bericht erstellt am 16/10/2015 um 21:58:38
# Aktualisiert am 09/10/2015 von Xplode
# Datenbank : 2015-10-16.1 [Server]
# Betriebssystem : Windows 10 Pro  (x64)
# Benutzername : Xxxx - YYYYY
# Gestartet von : D:\Downloads\adwcleaner_5.013.exe
# Option : Suchlauf
# Unterst³tzung : http://toolslib.net/forum


***** [ Dienste ] *****




***** [ Ordner ] *****




***** [ Dateien ] *****




***** [ DLLs ] *****




***** [ Verkn³pfungen ] *****




***** [ Geplante Tasks ] *****




***** [ Registrierungsdatenbank ] *****




***** [ Internetbrowser ] *****




*************************


C:\AdwCleaner[R1].txt - [1913 Bytes] - [16/08/2013 21:12:01]
C:\AdwCleaner[R2].txt - [1973 Bytes] - [17/08/2013 11:37:30]
C:\AdwCleaner[R3].txt - [2033 Bytes] - [17/08/2013 11:38:29]


########## EOF - C:\AdwCleaner\AdwCleaner[S5].txt - [818 Bytes] ##########

Alles anzeigen

Boersenfeger

Danke, und noch Malwarebytes...

Jackie78

Zitat von Boersenfeger

Danke, und noch Malwarebytes...

Läuft noch, da ich beim letzten Lauf kein Log gesichert hatte, werde ich hier ergänzen sobald fertig...

Code

Malwarebytes Anti-Malware
www.malwarebytes.org


Suchlaufdatum: 16.10.2015
Suchlaufzeit: 22:01
Protokolldatei: 
Administrator: Ja


Version: 2.2.0.1024
Malware-Datenbank: v2015.10.16.09
Rootkit-Datenbank: v2015.10.16.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert


Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: Xxxx


Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 790327
Abgelaufene Zeit: 21 Min., 3 Sek.


Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Warnen
PUM: Aktiviert


Prozesse: 0
(keine bösartigen Elemente erkannt)


Module: 0
(keine bösartigen Elemente erkannt)


Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)


Registrierungswerte: 0
(keine bösartigen Elemente erkannt)


Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)


Ordner: 0
(keine bösartigen Elemente erkannt)


Dateien: 0
(keine bösartigen Elemente erkannt)


Physische Sektoren: 0
(keine bösartigen Elemente erkannt)




(end)

Alles anzeigen