В диске С, где расположена ХРюша обнаружил файл название которого "blubb.txt"
Вот его содержимое:

##################################
 #Underground Firefox Stealer v0.2#
 #          by BadboyGER          #
 ##################################

 URL: chrome://wm-notifier/options
 String: autoLogin
 String: 1
 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 URL: http://bla-bla-bla
 String: bla-bla-bla@bla-bla-bla.bla
 String: тут пароль
 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
и так все сайты с данными о логинах и паролей к ним

Чтобы это могло быть? Файл был создан 22 января 2009г. Где лазил именно в это время вспомнить абсолютно не получается.
Я так понял кто-то пытается украсть (steal) мои логины да пароли.
ОС: Винда ХР
Браузер: FF 3.05
Дополнения: wm-notifier, Speeddial, остальные уже не помню. Уважаемые разработчики проясните пожалуйста ситуацию с дальнейшими рекомендациями к пользованию Фаерфоксом.
Премного благодарен!

01-02-2009 02:00:50
Пока что Лису удалил подчистую. Юзаю Оперу до выяснения обстоятельств.

Я бы сказал, что надо провериться на вирусы.

Почему такая уверенность что пытаются украсть? Вполне может быть что уже! И браузер тут, скорее всего, совершенно не причем.
В качестве рекомендаций хм,  это зависит только от Вас лично. Например:  Обязательно проверить систему свежим Dr.Web CureIt (или аналогичный антивирусный сканер),  + дополнительно  AVZ. Обновить/(или удалить и заново инсталлировать)  антивирусное ПО, которым Вы пользуетесь и тоже проверить. Если отсутствует - поставить  Firewall. В Firefox  можете в настройках- защита - глянуть на опцию мастер-пароль. Отключите в настройках все что связанно с  Java. Или, что будет более правильно, скачайте дополнение, которое позволяет управлять активными компонентами. Если не путаю, должен подойти NoScript или нечто аналогичное - смотрите сами, мне данное абсолютно не нужно  так что, конкретно не подскажу. Посмотрите в настройках - Личные данные - я к примеру, при закрытии, удаляю все. Обязательно все пароли ИЗМЕНИТЬ! Обновить  Windows до актуального состояния......  Поковыряйтесь на сайтах посвященных компьютерной безопасности. И тогда поймете, что лично Вам, стоит делать!

Lynn, about,
Спасибо, что откликнулись. У меня щас стоит KIS 7 с обновлениями по нынешний день. Никогда не жаловался. Ибо быстро вылавливал пролезающую каку с инета.
Сам я грешу на левые дополнения?? Такое может быть, что какое-нибудь дополнение, показывающее снаружи что он какой-то безобидный WebMail Notifier, a на самом деле троянчик например "тырящий" пароли с фаерфокса...
Просто, я думаю, что антивирус не проверяет или не может выявить подозрительные внутренности фаерфокса, так как это вред только внутри проги и остается тем самым незамеченным.

dobriy_user

Ну так вроде там так прямо и написано

.
Хотя конечно это мб и маскировка...

Где это написано?? В файле описанном в стартпосте это работа вот этого Mozilla supported/trusted скрипта.
На страничке скрипта 347 положительных отзывов...

Значит все ж дополнения...

dobriy_user

Наличие  пассвордов с логином в  обычном файле, доступном для просмотра и с заголовком BadboyGER - тревожит.  В любом случае, проверяйте систему, поскольку даже наличие постоянно обновляющейся антивирусной программы/комплексных решений не дает 100% гарантию чистоты.  WebMail Notifie откуда скачивали? Попробуйте  настроить WebMail Notifie и посмотрите, не появился ли подозрительный файл снова.

Откуда обычно Вы ставите дополнения? Не было ли такого, что ставили дополнения не с addons.mozilla.org?

Нагуглил и нашел ту самую злосчастную програмку: и автора, и сам релиз. Глядеть тут
Но там все на немецком, ничего не понятно. Да и способы очистки от этой дряни вряд ли там опишутся. Пишут мол нулевая детекция. Ни Каспер, ни кто-либо другой не видит её.

Главным образом тырит пароли и логины с фаерфокса.
Мне кажется, разработчики должны забить тревогу...

А ссылку именно на обсуждение можно. WebMail Notifier многие используют и нареканий таких на дополнение нет. Любопытно - откуда "blubb.txt" взялся. Хотя, в любом случае, наличие паролей в таком виде серьезная угроза. Везет Вам dobriy_user:)

Нет определения автоматически, смотрите сами, есть ли что подозрительное: AnVir Task Manager, AVZ, HijackThis.

Написал письмо в техподдержку Касперского. Выявили вот такую штуковину, обещали помочь.
Вот, собственно, само письмо:

Здравствуйте,

underground_firefox_stealer_v0.2_public.exe_ - Constructor.Win32.PWSteal.g

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

Он ловит далеко не всё, см. Поиск на форуме по словам AVG, Касперский - там говорится, чем AVG Free лучше.

Отлично. Будете менять пароли?

Так что Вы конкретно отправили в техподдержку. Само дополнение WebMail Notifier, или файл какой подозрительный нашли у себя на ПК и отправили. Расскажите пожалуйста подробнее.

Автор темы расскажите подробнее место где вы обнаружили этот текстовый файл Не в корневом же диске С   Вы думаете, что воровалось именно с помощью firefox и из-за использования расширений.. Очень важно выявить механизм--касперский и подобные только вирусы по базе определяет, а изменись чуть код и всё.. Надо бы всерьёз подумать как он это делает

А как? Из сохранённых паролей, при серфинге, ли вообще как кейлоггер какой-нибудь?

Видно, автор темы не успел 
Пользователи Касперского с актуальными базами, устройте проверку  файла дополнения WebMail Notifier.

Результат проверки данного файла на Virus Total
http://radikal.ru/F/s60.radikal.ru/i170 … 7.png.html
Видно эту заразу подцепили где-то в другом месте, а она просто внедрилась в это расширение.
З.Ы. Каспер молчит.

Настройки какие у KIS7? Даже если этой дряни нет в сигнатурах, могла сработать эвристика, а если дрянь маскируется - углублённый поиск руткитов. Используя максимальную защиту, проверьте весь винчестер.

Вот я тут советую, а сам по неосторожности тоже трояна подцепил, причём не знаю, когда, и не знаю, где. Тоже какой-то воришка паролей, правда детального описания не нашёл. KAV 2009 его сразу вычислил и удалил, вот только я слишком долго антивирус не запускал... страшно, вдруг что случится теперь...

Это не WebMail Notifier. Я же в предыдущем посте писал, что это не он. Куча положительных отзывов, да и проверки на чистом фаерфоксе не выявили ничего подозрительного.
Я уже разобрался что это было: это эксплоит, написанный каким-то фашистом из Германии, который (каким образом понятия не имею) обрабатывает профиль в Фаерфоксе и тщательно все экспортирует все логины, пароли и на каких сайтах они были введены в текстовой файл, который находится именно в корневом диске, где установлена Винда (да да, я об "C:\"). Далее затем передает этот текстовой файл на удаленный FTP-сервер и дело в шляпе. Ес-но ему будет пофиг на вашу почту, на аккаунт на лавплэнет.ру. Ему гораздно интереснее рыба по-крупнее, напр WebMoney, введенные данные на сайте вашего банка и т.д. и т.п.
Я отправил этот эксплоит в техподдержку Касперского, как я писал выше, и противоядие уже включили в обновление от 2 февраля. Вроде бы проблема решена. Но покопавшись глубоко в гугле обнаружил что таких программок огромное количество. И по одной штучке отправлять в Касперский это как бы не выход. Нужно искать че-нить  принципиально новый метод решения борьбы с вредителями.
Где подцепил эту фигню не знаю и не помню.
Всё, вроде отписался...

Спасибо.  Теперь понятно.

А вот меня интересует другое. Возможно ли, что для "экспорта" приватных регистрационных  данных пользователя,  использовалась некая уязвимость в дополнении WebMail Notifier. Или же наличие в txt  строки с  "wm-notifier" просто смысловое совпадение.

Аналогичные мысли. Ведь пароли хранятся signons.txt но в зашифрованном виде.. Значит их похитили при вводе.. Интересно, если б автор сравнил какие пароли у него запомнены и какие там.. Но ведь если он их крадёт из профиля, то вообще дыра в самой системе шифрования мозиллы!

Ссылка не работает. Есть ещё что-нибудь по этой теме? А то как-то не очень понятно...

А не может он, например, непосредственно при вводе с клавиатуры их красть?

как клавиатурный шпион вряд ли.. Это отдельное приложение нужно. А из профиля я имел в виду именно из файла, где сохраняются пароли в шифрованном виде..Странно, однако чтобы он их переводил на компьютере жертвы, когда можно их преспокойно отправить себе в таком виде и спокойно дома расшифровать.. Да и сомнительно это по причине озвученный выше.. Всё-таки мозилловцы всегда хвалились своей защитой.. Значит перехват уже введённых данных на уровне дополнения.. Может левое расширение? Это всё мои домыслы, но, мне интересно спасает ли от подобных программ установка прог типа sxipper для хранения паролей или нет.. К сожалению, никто сведущий в этом не отписывается, а ведь
это куда серьёзней чем мифические уязвимости, которые исправляются в каждой версии..

1 февраля 2009 ЛК добавила в антивирусные базы Constructor.Win32.PWSteal.g.  Описание механизма действия я не обнаружил.