FFSpy VÍRUS !
Az FFSpy trójai készítői nem törődtek azzal, hogy a kártékony programjukat böngészőfüggetlenné tegyék, ezért az kizárólag a Firefox alkalmazás esetében működőképes. A Mozilla szoftverének felhasználóit azonban mindez nem vigasztalja, hiszen a kártevő a Firefoxhoz feltelepített komponensének köszönhetően igencsak aktív.
Az FFSpy jelenlegi variánsa egy Adobe Flash frissítésnek próbálja álcázni magát. Amikor azonban a felhasználó elindítja a trójai állományát, akkor az természetesen nem a Flash új verzióját telepíti fel, hanem a kártékony összetevőit. Ezt követően a Firefoxban folyamatosan figyeli a Google webes keresője által megjelenített tartalmakat, amiket összegyűjt és feltölt egy előre meghatározott távoli szerverre.
Az Isidor Biztonsági Központ szerint az FFSpy elsősorban egy váratlanul megjelenő, Adobe Flash frissítés sikerességéről szóló üzenetablak, valamint egy Firefox indításakor felbukkanó, újonnan telepített kiegészítőről árulkodó ablak révén ismerhető fel.
Amikor az FFSpy trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Megjelenít egy üzenetablakot a következő szöveggel:
"Adobe Flash Updated Successfully"
2. Létrehozza az alábbi állományokat:
%AppData%\Adobe\Flash\chrome.manifest
%AppData%\Adobe\Flash\content\google.js
%AppData%\Adobe\Flash\content\overlay.js
%AppData%\Adobe\Flash\content\overlay.js.old
%AppData%\Adobe\Flash\content\overlay.xul
%AppData%\Adobe\Flash\install.js
%AppData%\Adobe\Flash\install.rdf
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
hkey_Current_User\Software\Mozilla\Firefox\Extensions{191d3f14-ff4c-4895-bdea-db54526cb49a}\Data: "%AppData%\Adobe\Flash"
4. Feltelepít egy beépülő modult a Firefox webböngészőhöz.
5. Amennyiben a felhasználó a Firefoxot használja a böngészéshez, akkor a trójai folyamatosan figyelemmel kíséri a Google keresőjében megjelenő tartalmakat.
6. A keresőben megadott adatokat és a megjelenő információkat feltölti egy előre meghatározott távoli szerverre.