Xorer, el malware en cuestión, había incrustado su carga en el paquete oficial de idioma vietnamita en febrero. Los responsables de Mozilla tuvieron noticia del problema el martes pasado. Al parecer, la red local del autor del plugin estaba infectada, y los archivos fueron subidos al servidor oficial contaminados con los efectos de Xorer (estos efectos son válidos bajo cualquier sistema operativo, no limitado a los usuarios de Windows), y no con el malware en sí (que se dedica a distribuir los scripts y es sólo para Windows). Al menos, esto impide en un principio que los usuarios que hayan descargado el plugin puedan distribuir el adware inmediatamente (a no ser que este cargue un nuevo módulo).
¿Cómo se infecta un plugin de Firefox? Xorer añadió JavaScript a los ficheros de ayuda HTML del plugin. Esto ha permitido al malware descargar y mostrar contenido web desde diversos servidores (publicidad no deseada, normalmente), mientras el usuario navega. Xorer había infectado (se supone que inconscientemente) la red interna del autor del plugin, y buscaba archivos HTML almacenados en las unidades a su alcance para añadirles estos scripts. Encontró la ayuda del plugin, la modificó y el paquete se distribuyó así. En el momento de ponerlo a disposición de todos, ningún sistema antivirus detectaba este HTML con los scripts añadidos. Han pasado meses hasta que el escáner o método antivirus concreto que use Mozilla ha podido dar con el problema.
Window Snyder ha declarado que "Mozilla analiza los archivos cuando son subidos al servidor. En este caso, el antivirus no cazó el malware hasta meses después de haberse subido". En cualquier caso, promete que analizarán más a menudo sus archivos para evitar que esto vuelva a ocurrir. Además, han vuelto a escanear todos los plugins disponibles de nuevo, sin detectar otros infectados.
Aunque no se conoce el número exacto de descargas del plugin infectado, se sabe que ha sido descargado más de 16.000 veces desde noviembre de 2007.
Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero un solo antivirus tampoco es la solución. De hecho, si hubiesen utilizado otros, el problema posiblemente se hubiese detectado mucho antes. Quizás otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware. Los scripts maliciosos creados con JavaScript son muy habituales hoy en día, y se ejecutan en cualquier navegador, pues ya hemos advertido de que la industria vírica ha tomado la web en todos los sentidos. Tanto para la su distribución, como para su difusión.
Snyder ha añadido "estas cosas pasan". Y es cierto. Tanto la distribución oficial de archivos (o incluso hardware) contaminado, hasta la troyanización de programas de código abierto han ocurrido en numerosas ocasiones en el pasado. A finales de 2006 Apple distribuyó Video iPods con un ejecutable (RavMonE.exe) infectado, a finales de 2007 Best Buy vendía marcos digitales con malware. En 2006 HP distribuyó por error controladores infectados por el virus FunLove… Sendmail, Wordpress, OpenSSH… han sido troyanizados en alguna ocasión y ofrecidos desde el servidor oficial de descarga. También Microsoft distribuyó en 2002 de forma involuntaria el virus Nimda en Corea del Sur con su Visual Studio .Net.
Sergio de los Santos
http://www.hispasec.com
