Onde devo começar a rastrear o malware do Firefox?

6

Mudei minha irmã para o Ubuntu porque me cansei de reinstalar o outro sistema operacional a cada 6 meses. Agora ela conseguiu algum malware em seu Firefox no Ubuntu. Sem acesso ao computador (ou quando chegar na semana que vem), onde devo procurar, que perguntas posso fazer, o que eu poderia dizer a um novato de computador para experimentar pelo telefone?

Sintomas:
Enquanto navegava em algum site de receita, ela exibia uma janela de anúncios sem controles de janela. Ela reiniciou o computador e quando ela reiniciou o Firefox ele voltou, tela cheia, sem controles, no topo.

Eu disse a ela para usar apenas -F2 e xkill para se livrar dele, o que ele fez, mas parou completamente o Firefox. Ao reiniciar, estava de volta, eu disse a ela para acertar a tecla F11 que a levou de volta para uma tela grande, mas não para tela cheia, para que ela pudesse ver que havia uma janela do navegador normal por baixo. Ela encabeçou a janela normal, mas a única outra coisa que eu tive tempo de verificar foi plug-ins, que não havia nada que soasse suspeito. Estou à procura de ideias sobre o que experimentar por telefone ou por onde começar na próxima semana.

Estou confortável com a linha de comando e usando about: config se isso faz alguma diferença na resposta.

    
por Dennis 22.12.2010 / 13:53

2 respostas

5

Eu não acho que haja muito valor em rastrear exatamente qual é o problema. É claro que sempre há algum algum valor, mas não posso garantir que você descobrirá qual é o problema.

Em termos do Etcher-Sketch, é mais fácil apenas agitá-lo até que você tenha uma tela em branco e, se desejar, pode retirar algumas das coisas menos prováveis de serem infectadas (configurações gerais, marcadores , etc).

Mas o vetor de instalação mais fácil para malware no Firefox é através do gerenciador de extensões. Você pode verificar o arquivo extensions.ini no perfil ativo para qualquer coisa suspeita, mas, como eu disse, pode não dar frutos.

Para fazer as coisas voltarem ao normal, vamos agitar o Firefox:

Nuke o perfil antigo.

Aqui está um pequeno script que move o perfil antigo para outro local. Estou inventando isso, então pode haver um bug ou dois nele. Você deve conseguir copiar e colar isso em um terminal.

cd ~/.mozilla/firefox/
export FFPROFILE='cat profiles.ini | grep "Path=" | sed 's/^Path=//''
mv $FFPROFILE $FFPROFILE.BAK
rm profiles.ini

Quando o Firefox for lançado, ele criará um novo perfil.

Salvar favoritos, senhas salvas, etc.

Depois que o firefox criar o novo perfil, você poderá ir para ~/.mozilla/firefox/ no nautilus e copiar alguns dos arquivos para o novo perfil e, em seguida, excluir o arquivo de configuração do perfil para que o Firefox crie um novo perfil. Comece fechando o Firefox e insira essas linhas em um terminal:

cd ~/.mozilla/firefox/
export FFPROFILE='cat profiles.ini | grep "Path=" | sed 's/^Path=//''
export OLDFFPROFILE='ls -1 | grep .BAK'
cp $OLDFFPROFILE/*.sqlite $FFPROFILE/

Você pode, naturalmente, fazer essas duas partes manualmente. Na verdade, é mais fácil fazer isso manualmente, você só precisa conhecer um pouco melhor o sistema de arquivos. Eu estava apenas pensando em você precisar fazer isso para outra pessoa ... pode ser mais fácil se eles copiam e colam em um terminal ... Ou você faz isso via SSH.

    
por Oli 22.12.2010 / 16:12
2

Você pode instalar um navegador diferente para mantê-la a curto prazo?

    
por Ron 22.12.2010 / 14:51