|
|
Umleitung
von Browser-Anfragen auf fremde Internetseiten / Allmannsberger
EDV
Mit
Browser-Hijacking werden
die Einstellungen
des Internet Explorers
so verändert, dass
beim Start des Browsers
Werbeseiten angezeigt werden,
oder eingegebene Adressen
zunächst auf Werbeseiten
landen. Vertippt man sich
bei der Eingabe der Internetadresse,
erhält man beim Internet
Explorer normalerweise
eine Suchseite von Microsoft
mit der Information, dass
die Seite mit der eingegebenen
Adresse nicht existiert.
Browser-Hijacker ändern
den Internet Explorer so,
dass in diesem Fall die
Werbeseite geladen wird.
Ebenso wird der sogenannte
Suchassistent - das ist
der linke Bereich im Browserfenster,
wenn man auf die Schaltfläche "Suchen" klickt
- für solche Werbezwecke
missbraucht. Zusätzlich
werden die sogenannten
Favoriten verändert
oder ergänzt.
Änderungen im Internet Explorer
werden unter anderem durch
Internetseiten durchgeführt,
die Aktive Inhalte (Javascript
und ActiveX-Komponenten)
enthalten. Dabei sind
falsche, beziehungweise
schwache
Sicherheitseinstellungen
in den Internetoptionen
der Hauptgrund für
die Ausführung dieser
Schadprogramme.
Wie von Internetwürmern,
werden auch von Browser-Hijackern Schwachstellen im
Betriebssystem oder in
Programmen (z.
B. Java VM) ausgenutzt,
um sich einzunisten.
Das Trojanische Pferd
Startpage
beispielsweise wird als
E-Mail-Nachricht mit
einer ZIP-Datei als Anhang
versendet.
In dieser ZIP-Datei ist
eine HTML-Datei und ein
EXE-Programm enthalten.
Beim Ansehen der HTML-Datei
wird durch eine Schwachstelle
im Internet Explorer
5.0 das EXE-Programm
automatisch
ausgeführt. Startpage ändert
so die Startseite des Internet
Explorers für seine
Werbezwecke.
Es gibt eine Reihe von
Möglichkeiten für
Browser-Hijacker sich im
System hartnäckig
festzusetzen. In den meisten
Fällen werden Schüssel
in der Windows-Registrierung
geändert, die das
Verhalten des Internet
Explorers ändern.
Einige betroffene Registrierungs-Schlüssel
sind:
HKCU\Software\Microsoft\Internet
Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
HKCU\Software\Microsoft\Internet
Explorer\Search
CustomizeSearch=
SearchAssistant=
HKLM\Software\Microsoft\Internet
Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
Default_Page_URL=
Default_Search_URL=
HKLM\Software\Microsoft\Internet
Explorer\Search
CustomizeSearch=
SearchAssistant=
Anmerkung:
HKCU steht für den
Hauptschlüssel HKEY_CURRENT_USER
HKLM steht für den
Hauptschlüssel HKEY_LOCAL_MACHINE
Neben den Änderungen
im Internet Explorer wird
häufig auch ein Trojanisches
Pferd installiert. Dieses
sorgt dafür, dass
die Veränderungen
vom Benutzer nicht einfach
wieder rückgängig
gemacht werden können. Änderungen,
die der Anwender zurückstellt,
sind nach einem Neustart
wieder vorhanden. Dazu
wird oft der Registrierungs-Schlüssel:
HKLM\Software\Microsoft\Windows\Current
Version\Run
verwendet. Durch einen
Eintrag in diesem Schlüssel
wird das Schadprogramme
beim Systemstart aktiviert.
Dieses stellt die Einstellungen
des Internet Explorers
wieder auf die gewünschten
Werte.
Ein anderer Trick der
Browser Hijacker ist
es, eigene
Seiten in den Bereich
der vertrauenswürdigen
Seiten zu legen (Register "Sicherheit" in
den Internetoptionen).
Damit werden die Sicherheitseinstellungen
der Zone Internet umgangen.
So können Javascript
und ActiveX ausgeführt
werden, obwohl die
Zoneneinstellungen
korrekt sind. Der CWS-Trojan
(Cool Web Search Trojan)
macht dies beispielsweise.
Hijacker nutzen Browser
Helper Objects
Browser Helper Objects
(BHO) sind ausführbare
Programme die die Funktionen
des Internet Explorers
erweitern. BHOs werden
ab Version 4 des Internet
Explorers eingesetzt.
BHOs haben Zugriff
auf alle Objekte und
Ereignisse des
Internet Explorers
und sind damit in der
Lage, das Verhalten
des
Browsers
zu manipulieren. Mit
dem BHO "Adobe Acrobat
add-in" ist der Internet
Explorer beispielsweise
in der Lage, Acrobat-Dokumente
im Browserfenster anzuzeigen.
Viren-Schutzprogramme haben
teilweise eine Internet
Explorer-Erweiterung in
Form eines BHOs, mit dem
sie Internetseiten auf
Viren prüfen. Es gibt
im Internet Explorer allerdings
keinerlei Möglichkeit,
die Existenz von BHOs
nachzuweisen.
Browser Helper Objects
sind Programme in Dateien
mit einer DLL-Erweiterung.
Diese werden dem Internet
Explorer mit einem
Registrierungs-Schlüssel
bekannt gegeben. Der Schlüssel
lautet:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\
Schlüsselnamen der
nächsten Registrierungsebene
markieren ein BHO.
Leider handelt es sich
bei den
Bezeichnungen nicht
um lesbare BHO-Namen,
sondern
um sog. CLSIDs (Class
Identifier).
Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Mit Hilfe dieser CLSID
kann man im Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID
die zugehörige BHO-Information
(Name des BHO, Dateiname
der DLL) finden.
AcroIEHelper.AcroIEHlprObj.1
C:\Programme\Adobe\Acrobat
6.0\Reader\ActiveX\AcroIEHelper.dll
Schadprogramme verwenden
BHOs, um das Benutzerverhalten
im Internet aufzuzeichnen
und diese Informationen
beispielsweise an Server
von Marketing-Unternehmen
zu senden. Außerdem
können sie sämtliche
Information abgreifen,
die der Internet Explorer
zu einem Internet-Server
sendet, einschließlich Benutzernamen,
Kennwörter oder Kreditkarteninformationen.
Browser-Hijacker verwenden
BHOs, um Internet-Anfragen
auf eigene Seiten umzulenken.
Methoden der Entfernung
Die Inspektion der
oben genannten Registrierungs-Schlüsseln
und die manuelle Entfernung
von geänderten Einträgen
ist sicherlich eine Methode.
Dabei ist die Gefahr eines
Fehlers gerade für
ungeübte Anwender
jedoch recht groß.
Spezielle Programme (Tools)
nehmen dem Anwender diese
Arbeit ab. Sie haben zudem
den Vorteil des Updates,
mit dem sie auf den neusten
Stand gebracht werden können.
Spybot Search&Destroy
Spybot S&D ist
ein Freeware-Tool zur Erkennung von Spyware, Ad-Aware, Keylogger,
Trojanische Pferde, ...
Diese Programme
sind nicht nur für Browser-Hijacker
entwickelt. Sie erkennen aber die meisten
Browser-Hijacker.
Die Programme ersetzten keine Viren-Schutzprogramme..
HijackThis
HijackThis sucht
nach Programmen, die beim Start des Computers aktiviert werden.
Es gibt viele Möglichkeiten, ein Programm beim Systemstart
zu aktivieren und es werden auch viele Programme beim Start des
Computers aktiviert. HijackThis listet
alle Programme auf; der Benutzer muss dann entscheiden, ob ein
bestimmtes Programm schädlich
ist, oder ob es zu einer legitimen Software gehört. Dazu
stehen Listen im Internet zur Verfügung.
Auf Wunsch des Benutzers kann HijackThis einzelne Programme
löschen. Eine deutsche
Anleitung zu
dem Programm ist verfügbar.
Browser
Helper Objects BHO mit HijackThis aufspüren:
Ein Abgleich mit der BHO-Liste auf der Seite http://www.sysinfo.org/bholist.php gibt
Informationen über die Art der installierten Objekte.
In
dieser Liste werden BHOs gekennzeichnet mit:
X - Spyware, Malware, "Hijackware"
L - legitime Software
O - offener Status (noch keine klare Meinung)
? - unbekannter Status
Gibt es Übereinstimmungen in den Listen
von HijackThis und Sysinfo-BHO, die als
Spyware, Malware oder Hijackware gekennzeichnet
ist (Markierung mit X), sollten Sie
diese Programme entfernen. HijackThis bietet
dazu die Option "Fix checked".
Aber Achtung:
Löschen Sie keine Einträge, die nicht
eindeutig als Sypware... gekennzeichnet sind.
Startprogramme der Windows Registry - ...\Run:
Auch hierbei hilft HijackThis. Mit der Kennzeichnung "04" werden
Programme aufgelistet,
die durch den sogenannten Run-Key beim Rechnerstart
aktiviert werden.
Zum Abgleich steht auf der Internetseite http://www.sysinfo.org/startuplist.php eine Liste mit Startup-Programmen zur Verfügung.
Kennzeichnungen
der Listeneinträge geben
Aufschluss über die Gefährlichkeit
der einzelnen
Startprogramme:
Y - notwendiger Eintrag
N - nicht unbedingt erforderlich
U - nicht unbedingt erforderlich
X - bekannter Virus, Wurm, Spyware, Adware,
...
? - unbekannter Status
Ü bereinstimmung zwischen HijackThis und Sysinfo-Startuplist
(mit X markiert) sollten entfernt werden.
Achtung:
Keine Einträge löschen, die nicht
eindeutig als Virus, Wurm, Spyware, ... identifiziert
sind!
© Bundesamt
für Sicherheit
in der Informationstechnik. All rights reserved.
Mehr
Infos: Informationen aus
dem BSI
|
|
|