Entdeckt hat den Schädling mit Namen ChromeInject das rumänische Sicherheitsunternehmen BitDefender. Er wird nach einer Erstinfektion durch einen Trojaner nachgeladen und für eigentliche Spionage eingesetzt. Er installiert sich als Plug-In und taucht dann auch als normales Zusatzmodul in Firefox auf. Das neue daran ist, dass ChromeInject nicht einfach nur Tastaturanschläge mitliest, sondern Informationen direkt aus dem Browser stiehlt und weiter schickt – er bleibt solange unsichtbar, bis eine Online-Banking-Seite aufgerufen wird.

So überwacht er alle deutschsprachigen Adressen mit der Sub-Domain "banking". Ein kurzer Test der Redaktion von computer/t-online.de ergab, dass davon unter anderem die Seiten der Postbank, ING-DiBa sowie der Sparkassen Hannover und Leipzig betroffen sind. Weil Bankseiten jedoch häufig mit dieser Sub-Domain versehen werden, dürften noch deutlich mehr Institute von der Gefahr betroffen sein.

Manuell lässt sich der Schädling nicht entfernen. Nur eine aktuelle Anti-Viren-Software mit neuester Definitionsdatei kann ChromeInject aufspüren und entfernen – vorausgesetzt der Browser ist abgeschaltet. Deshalb sollten Sie stets ihre Sicherheitsprogramme auf dem neuesten Stand halten. Als weitere Vorsichtsmaßnahme sollten Sie unter Firefox 3 im Menü "Extras" unter dem Punkt "Einstellungen" im Sicherheits-Reiter das Häkchen für die Warnung vor der Installation von Add-Ons setzen. So erhalten Sie bei jeder Installation zuvor einen Hinweis. Außerdem sollten Sie im selben Menü die Ausnahmeregeln überprüfen – nur vertrauenswürdige Seiten sollten die Erlaubnis haben, etwas für Ihren Browser zu installieren.