Computerworld News Service: Malwaren, som BitDefender har døbt 'Trojan.PWS.ChromeInject.A', ligger i Firefox' add-ons-mappe, fortæller Viorel Canja, chef for BitDefenders forskning.
Malwaren kører, når Firefox startes og bruger JavaScript til at identificere over 100 amerikanske banksider, blandt andet Barclays, Wachovia, Bank of America og Paypal, og omkring 25 italienske og spanske banker.
Når malwaren genkender en hjemmeside, indsamler den logins og passwords og sender oplysningerne til en server i Rusland.
Firefox har konstant erobret markedsandele siden sin debut for fire år siden, og det kan være en af grundene til, at folkene bag malwaren er på udkig efter nye måder at inficere computere på, mener Viorel Canja.
En pc kan inficeres med den trojanske hest via en såkaldt drive-by-download, der kan inficere pc'en ved at udnytte en sårbarhed i browseren, eller brugeren kan narres til at downloade den, fortæller Viorel Canja.
Når den kører på en pc, registrerer den sig selv i Firefox' systemfiler som 'Greasemonkey' - en kendt samling scripts, der tilføjer ekstra funktionalitet til hjemmesider, der vises i Firefox.
BitDefender har opdateret sine produkter, så de opfanger malwaren, og flere andre leverandører følger formentlig trop snart, mener Viorel Canja.
Man kan undgå den ved udelukkende at downloade signeret og godkendt software, men det kan til gengæld begrænse pc'ens anvendelighed, siger han.
En linje HTMLkode
Malwaren findes ikke i andre af Mozillas add-ons, fortæller Viorel Canja. Mozilla har nemlig sørget for, at virksomhedens officielle side, der hoster add-ons, er fri for malware.
I maj anerkendte Mozilla, at den vietnamesiske sprogpakke til Firefox indeholdt uønsket kode.
Selvom om det blev præsenteret som en virus, indeholdt sproget faktisk en linje HTML-kode, der fik uønskede annoncer til at poppe op på brugerens skærm.
Mozilla er nu begyndt at scanne nye add-ons for malware, men scanningerne opfanger kun kendte trusler, og der var ingen signatur i den sikkerhedssoftware, Mozilla brugte dengang, der kunne genkende koden.
Mozilla meddelte, at koden formentlig endte i sprogpakken fordi, udviklerens pc blev inficeret.
Mere end 16.000 mennesker downloadede sprogpakken, men kun omkring 1.000 bruger den regelmæssigt.
Efter uheldet sagde Mozilla, at man ville scanne sine add-ons ved den regelmæssige opdatering af antivirus-signaturer.
Oversat af Mille Bindslev
