Как найти зловреда по попытке установить расширение?

Question

[dollar]

Предыстория такова. При запуске firefox (я его редко запускаю, а в этот раз просто промахнулся мышкой) выдало такое сообщение:


Из сообщения видно, что некая программа пытается установить расширение. Не ясно, какая именно программа. А это и нужно выяснить. Потому что удаление расширения - это лечение симптомов, а не болезни. Слава богу, что хоть путь к самому расширению показан и его можно изучить.

Почему это зловред? Хотя бы потому, что я не знаю у себя программ, которые могли бы позволить себе такую наглость. На всякий случай я проверил само расширение. Сразу бросается в глаза домен cssupdate.com вместо cssupdater.com, о чем сразу вопит гугл:

Домена vidadblocker94.com вообще не существует.
Если копнуть глубже, то можно найти домен webovernet.com, в гугле о нем говорят только плохое.
И так далее.

Если это поможет, то вот само расширение: https://yadi.sk/d/CBHHsfdKjovZJ
Но главная цель найти программу, которая это расширение пытается установить. Как это сделать?

Антивирус (DrWeb Cureit) ничего не нашел на компьютере (Windows 7 64 bit). И расширение тоже не вызывает подозрений у virustotal (и у Яндекс.Диска, поэтому спокойно выложил).

Answer 1

[Юрий Чудновский]

Какая именно программа - огнелису не известно, потому что он просто обнаружил в папке с расширениями новое, которое не числится установленным через стандартный механизм. Кто положил туда файлы - можно узнать лишь отследив процесс копирования файлов туда с помощью procmon, filemon и т.п. либо настроив аудит.
В общем случае, зловред уже отработал своё и может даже уже не существовать на диске.

Comments

[dollar]

Жаль.
Спасибо за подробный ответ.

Answer 2

[Андрей]

В качестве полумера: согласитесь на установку расширения, а после установки просто его отключите (без удаления). Зловред будет считать, что расширение уже установлено.

Answer 3

[KPOBABAK]

Отследить обращение к указанным файлам через Procmon.
Ну и как вариант...в Ярлыке к FF ничего не прописано лишнего?