362
« am: 08. November 2007, 09:19:51 »
Der Aufruf der ALDI-Seite sieht nach einem "Browser-Hijacking" aus.
Dieser Sache kann man wie folgt auf den Grund gehen:
Es gibt eine Reihe von Möglichkeiten für Browser-Hijacker sich im System hartnäckig festzusetzen. In den meisten Fällen werden Schüssel in der Windows-Registrierung geändert, die das Verhalten des Internet Explorers ändern.
Einige betroffene Registrierungs-Schlüssel sind:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
HKCU\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=
HKLM\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
Default_Page_URL=
Default_Search_URL=
HKLM\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=
Anmerkung:
HKCU steht für den Hauptschlüssel HKEY_CURRENT_USER
HKLM steht für den Hauptschlüssel HKEY_LOCAL_MACHINE
Neben den Änderungen im Internet Explorer wird häufig auch ein Trojanisches Pferd installiert. Dieses sorgt dafür, dass die Veränderungen vom Benutzer nicht einfach wieder rückgängig gemacht werden können. Änderungen, die der Anwender zurückstellt, sind nach einem Neustart wieder vorhanden. Dazu wird oft der Registrierungs-Schlüssel:
HKLM\Software\Microsoft\Windows\Current Version\Run
verwendet. Durch einen Eintrag in diesem Schlüssel wird das Schadprogramme beim Systemstart aktiviert. Dieses stellt die Einstellungen des Internet Explorers wieder auf die gewünschten Werte.
Ein anderer Trick der Browser Hijacker ist es, eigene Seiten in den Bereich der vertrauenswürdigen Seiten zu legen (Register "Sicherheit" in den Internetoptionen). Damit werden die Sicherheitseinstellungen der Zone Internet umgangen. So können Javascript und ActiveX ausgeführt werden, obwohl die Zoneneinstellungen korrekt sind. Der CWS-Trojan (Cool Web Search Trojan) macht dies beispielsweise.
Hijacker nutzen Browser Helper Objects
Browser Helper Objects (BHO) sind ausführbare Programme die die Funktionen des Internet Explorers erweitern. BHO`s werden ab Version 4 des Internet Explorers eingesetzt.
BHO`s haben Zugriff auf alle Objekte und Ereignisse des Internet Explorers und sind damit in der Lage, das Verhalten des Browsers zu manipulieren. Mit dem BHO "Adobe Acrobat add-in" ist der Internet Explorer beispielsweise in der Lage, Acrobat-Dokumente im Browserfenster anzuzeigen. Viren-Schutzprogramme haben teilweise eine Internet Explorer-Erweiterung in Form eines BHO`s, mit dem sie Internetseiten auf Viren prüfen. Es gibt im Internet Explorer allerdings keinerlei Möglichkeit, die Existenz von BHO's nachzuweisen.
Browser Helper Objects sind Programme in Dateien mit einer DLL-Erweiterung. Diese werden dem Internet Explorer mit einem Registrierungs-Schlüssel bekannt gegeben. Der Schlüssel lautet:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Schlüsselnamen der nächsten Registrierungsebene markieren ein BHO. Leider handelt es sich bei den Bezeichnungen nicht um lesbare BHO-Namen, sondern um sog. CLSID`s (Class Identifier).
Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Mit Hilfe dieser CLSID kann man im Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID
die zugehörige BHO-Information (Name des BHO, Dateiname der DLL) finden.
AcroIEHelper.AcroIEHlprObj.1
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Schadprogramme verwenden BHO's, um das Benutzerverhalten im Internet aufzuzeichnen und diese Informationen beispielsweise an Server von Marketing-Unternehmen zu senden. Außerdem können sie sämtliche Information abgreifen, die der Internet Explorer zu einem Internet-Server sendet, einschließlich Benutzernamen, Kennwörter oder Kreditkarteninformationen. Browser-Hijacker verwenden BHO's, um Internet-Anfragen auf eigene Seiten umzulenken.
Methoden der Entfernung
Die Inspektion der oben genannten Registrierungs-Schlüsseln und die manuelle Entfernung von geänderten Einträgen ist sicherlich eine Methode. Dabei ist die Gefahr eines Fehlers gerade für ungeübte Anwender jedoch recht groß. Spezielle Programme (Tools) nehmen dem Anwender diese Arbeit ab. Sie haben zudem den Vorteil des Updates, mit dem sie auf den neusten Stand gebracht werden können.
Software kann man zur Entfernung einsetzen, zum Beispiel:
Spybot Search&Destroy. Spybot S&D ist ein Freeware-Tool zur Erkennung von Spyware, Adware, Keylogger, Trojanische Pferde.
HijackThis
HijackThis sucht nach Programmen, die beim Start des Computers aktiviert werden. Es gibt viele Möglichkeiten, ein Programm beim Systemstart zu aktivieren und es werden auch viele Programme beim Start des Computers aktiviert. HijackThis listet alle Programme auf; der Benutzer muss dann entscheiden, ob ein bestimmtes Programm schädlich ist, oder ob es zu einer legitimen Software gehört. Dazu stehen Listen im Internet zur Verfügung.
Auf Wunsch des Benutzers kann HijackThis einzelne Programme löschen. Eine deutsche Anleitung zu dem Programm ist verfügbar.
Beiträge anzeigen
