Salar Zeynali è un giovane iraniano, residente nella città di Karaj, nel nord del paese. Come molti suoi coetanei ascolta musica rock, ha un taglio di capelli “emo” e cerca amicizie e relazioni attraverso le pagine di Facebook. A differenza degli altri ragazzi della stessa età, Salar Zeynali ha messo in ginocchio la sicurezza di un browser tanto diffuso come Firefox e dei suoi utenti. L’ha fatto però in modo decisamente poco prudente, firmando in modo esplicito il trojan che ha realizzato nel tempo libero e rilasciato per il download gratuito sulle pagine di un forum.
«SaLiLoG keylogger server made by Salar Zeynali – Salixem@Gmail.com.». Questo l’autografo rinvenuto all’interno del malware, identificato dagli esperti di Webroot con il nome in codice Trojan-PWS-Nslog, in grado di infettare i computer dei malcapitati installandosi nella directory “system32”. Attraverso la creazione di un nuovo account utente (username “Maestro”), il trojan procede poi a raccogliere le password salvate da Firefox, Internet Explorer e porzioni del registro di sistema. Una volta avuto accesso a queste informazioni, il codice è stato strutturato per inviarle una ogni 60 secondi a un server esterno, ora comunque non più raggiungibile.
Salar ha anche pensato di modificare il file “nsLoginManagerPrompter.js”, usato da Firefox per mostrare avvisi e notifiche durante la navigazione, affinché ai possessori dei sistemi infetti non venisse chiesta l’autorizzazione prima di salvare le credenziali durante le operazioni di login.
Sebbene al momento i rischi legati alla diffusione del Trojan-PWS-Nslog sembrano essere acqua passata, l’unico modo per ripristinare il corretto funzionamento di Firefox è procedere a una nuova installazione del software, così che il file “nsLoginManagerPrompter.js” potenzialmente corrotto venga sovrascritto da una versione originale e integra. Mozilla e Microsoft non si sono momentaneamente espresse in via ufficiale sulla vicenda.