Firefox wordt een steeds interessanter doelwit voor virusschrijvers, nu er weer malware voor de opensource browser is ontdekt, aldus virusanalist Andrew Brandt. Vorig jaar moesten Firefox-gebruikers al oppassen voor de ChromeInject plugin, die bankrekeningen plunderde. Brandts is nu tegen twee nieuwe exemplaren aangelopen die de werking van Mozilla's browser manipuleren. De eerste is een variant van de DNSChanger malware, een browser hijacking tool. Eenmaal actief installeert de malware een DLL bestand en draait zo mee in het Firefox proces. Net als DNSChanger wijzigt het zoekresultaten van Google, Yahoo en andere zoekmachines en stuurt de zoekopdrachten naar een Oekraïense server.

De tweede specifieke Firefox malware die alleen werkt met Firefox 3.x, is een plugin genaamd PlayMP3z. De plugin gebruikt een omvangrijke gebruikersovereenkomst waarin staat dat het adware is. Zo probeert het tijdens de installatie de Mirar toolbar te installeren. Wie deze installatie voorkomt krijgt een andere adware hiervoor in de plaats, genaamd Foxicle. De adware toont tal van popups en popunder advertenties. Beide malware plugins zijn niet in het plugin-venster van Firefox te vinden. "Hoewel de verspreiding nog meevalt, verwacht ik dat we ze vaker tegen zullen komen", zegt Brandts.

Volgens de onderzoeker misbruikt de malware geen beveiligingslek of ander probleem met Firefox, maar lift het mee op andere malware. "Zodra je kwaadaardige code op je PC uitvoert, dan is elke applicatie kwetsbaar. Firefox is toevallig een groot doelwit."