Allmannsberger EDV-ITK Internet- Projekt- & Ideenagentur

Die zuverlässige ITK - Fullserviceagentur    

Sie befinden sich hier:Vireninfos Browser Hijacking  
Interne Links
I-Net-Referenzen
Partnerschaften
Rechtliches
Security Info
Virenforum
Wir über uns
 

Allmannsberger EDV - ITK Services - Internet- Projekt-  & Ideenagentur
ITK-Services- Internet- Projekt- & Ideenagentur
Informationen aus dem BSI - Browser Hijacking
BROWSER HIJACKING - INFOS AUS DEM BSI



Allmannsberger edv-itk internet- projekt- & ideenagentur

Allmannsberger edv-itk internet- projekt- & ideenagentur

Umleitung von Browser-Anfragen auf fremde Internetseiten
/ Allmannsberger EDV

Mit Browser-Hijacking werden die Einstellungen des Internet Explorers so verändert, dass beim Start des Browsers Werbeseiten angezeigt werden, oder eingegebene Adressen zunächst auf Werbeseiten landen. Vertippt man sich bei der Eingabe der Internetadresse, erhält man beim Internet Explorer normalerweise eine Suchseite von Microsoft mit der Information, dass die Seite mit der eingegebenen Adresse nicht existiert. Browser-Hijacker ändern den Internet Explorer so, dass in diesem Fall die Werbeseite geladen wird. Ebenso wird der sogenannte Suchassistent - das ist der linke Bereich im Browserfenster, wenn man auf die Schaltfläche "Suchen" klickt - für solche Werbezwecke missbraucht. Zusätzlich werden die sogenannten Favoriten verändert oder ergänzt.

Änderungen im Internet Explorer werden unter anderem durch Internetseiten durchgeführt, die Aktive Inhalte (Javascript und ActiveX-Komponenten) enthalten. Dabei sind falsche, beziehungweise schwache Sicherheitseinstellungen in den Internetoptionen der Hauptgrund für die Ausführung dieser Schadprogramme.

Wie von Internetwürmern, werden auch von Browser-Hijackern Schwachstellen im Betriebssystem oder in Programmen (z. B. Java VM) ausgenutzt, um sich einzunisten. Das Trojanische Pferd Startpage beispielsweise wird als E-Mail-Nachricht mit einer ZIP-Datei als Anhang versendet. In dieser ZIP-Datei ist eine HTML-Datei und ein EXE-Programm enthalten. Beim Ansehen der HTML-Datei wird durch eine Schwachstelle im Internet Explorer 5.0 das EXE-Programm automatisch ausgeführt. Startpage ändert so die Startseite des Internet Explorers für seine Werbezwecke.

Es gibt eine Reihe von Möglichkeiten für Browser-Hijacker sich im System hartnäckig festzusetzen. In den meisten Fällen werden Schüssel in der Windows-Registrierung geändert, die das Verhalten des Internet Explorers ändern.

Einige betroffene Registrierungs-Schlüssel sind:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=

HKCU\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=

HKLM\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
Default_Page_URL=
Default_Search_URL=

HKLM\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=

Anmerkung:
HKCU steht für den Hauptschlüssel HKEY_CURRENT_USER
HKLM steht für den Hauptschlüssel HKEY_LOCAL_MACHINE

Neben den Änderungen im Internet Explorer wird häufig auch ein Trojanisches Pferd installiert. Dieses sorgt dafür, dass die Veränderungen vom Benutzer nicht einfach wieder rückgängig gemacht werden können. Änderungen, die der Anwender zurückstellt, sind nach einem Neustart wieder vorhanden. Dazu wird oft der Registrierungs-Schlüssel:

HKLM\Software\Microsoft\Windows\Current Version\Run

verwendet. Durch einen Eintrag in diesem Schlüssel wird das Schadprogramme beim Systemstart aktiviert. Dieses stellt die Einstellungen des Internet Explorers wieder auf die gewünschten Werte.

Ein anderer Trick der Browser Hijacker ist es, eigene Seiten in den Bereich der vertrauenswürdigen Seiten zu legen (Register "Sicherheit" in den Internetoptionen). Damit werden die Sicherheitseinstellungen der Zone Internet umgangen. So können Javascript und ActiveX ausgeführt werden, obwohl die Zoneneinstellungen korrekt sind. Der CWS-Trojan (Cool Web Search Trojan) macht dies beispielsweise.

Hijacker nutzen Browser Helper Objects

Browser Helper Objects (BHO) sind ausführbare Programme die die Funktionen des Internet Explorers erweitern. BHOs werden ab Version 4 des Internet Explorers eingesetzt.

BHOs haben Zugriff auf alle Objekte und Ereignisse des Internet Explorers und sind damit in der Lage, das Verhalten des Browsers zu manipulieren. Mit dem BHO "Adobe Acrobat add-in" ist der Internet Explorer beispielsweise in der Lage, Acrobat-Dokumente im Browserfenster anzuzeigen. Viren-Schutzprogramme haben teilweise eine Internet Explorer-Erweiterung in Form eines BHOs, mit dem sie Internetseiten auf Viren prüfen. Es gibt im Internet Explorer allerdings keinerlei Möglichkeit, die Existenz von BHOs nachzuweisen.

Browser Helper Objects sind Programme in Dateien mit einer DLL-Erweiterung. Diese werden dem Internet Explorer mit einem Registrierungs-Schlüssel bekannt gegeben. Der Schlüssel lautet:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

Schlüsselnamen der nächsten Registrierungsebene markieren ein BHO. Leider handelt es sich bei den Bezeichnungen nicht um lesbare BHO-Namen, sondern um sog. CLSIDs (Class Identifier).

Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

Mit Hilfe dieser CLSID kann man im Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID

die zugehörige BHO-Information (Name des BHO, Dateiname der DLL) finden.

AcroIEHelper.AcroIEHlprObj.1
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Schadprogramme verwenden BHOs, um das Benutzerverhalten im Internet aufzuzeichnen und diese Informationen beispielsweise an Server von Marketing-Unternehmen zu senden. Außerdem können sie sämtliche Information abgreifen, die der Internet Explorer zu einem Internet-Server sendet, einschließlich Benutzernamen, Kennwörter oder Kreditkarteninformationen. Browser-Hijacker verwenden BHOs, um Internet-Anfragen auf eigene Seiten umzulenken.

Methoden der Entfernung

Die Inspektion der oben genannten Registrierungs-Schlüsseln und die manuelle Entfernung von geänderten Einträgen ist sicherlich eine Methode. Dabei ist die Gefahr eines Fehlers gerade für ungeübte Anwender jedoch recht groß. Spezielle Programme (Tools) nehmen dem Anwender diese Arbeit ab. Sie haben zudem den Vorteil des Updates, mit dem sie auf den neusten Stand gebracht werden können.

Spybot Search&Destroy
Spybot S&D ist ein Freeware-Tool zur Erkennung von Spyware, Ad-Aware, Keylogger, Trojanische Pferde, ...

Spybot S&D

Diese Programme sind nicht nur für Browser-Hijacker entwickelt. Sie erkennen aber die meisten Browser-Hijacker. Die Programme ersetzten keine Viren-Schutzprogramme..

HijackThis
HijackThis sucht nach Programmen, die beim Start des Computers aktiviert werden. Es gibt viele Möglichkeiten, ein Programm beim Systemstart zu aktivieren und es werden auch viele Programme beim Start des Computers aktiviert. HijackThis listet alle Programme auf; der Benutzer muss dann entscheiden, ob ein bestimmtes Programm schädlich ist, oder ob es zu einer legitimen Software gehört. Dazu stehen Listen im Internet zur Verfügung.
Auf Wunsch des Benutzers kann HijackThis einzelne Programme löschen. Eine deutsche Anleitung zu dem Programm ist verfügbar.

Spybot S&D

 Browser Helper Objects BHO mit HijackThis aufspüren:
Ein Abgleich mit der BHO-Liste auf der Seite http://www.sysinfo.org/bholist.php externer Link gibt Informationen über die Art der installierten Objekte.

SysInfo.org

In dieser Liste werden BHOs gekennzeichnet mit:

X - Spyware, Malware, "Hijackware"

L - legitime Software
O - offener Status (noch keine klare Meinung)
? - unbekannter Status

Gibt es Übereinstimmungen in den Listen von HijackThis und Sysinfo-BHO, die als
Spyware, Malware oder Hijackware gekennzeichnet ist (Markierung mit X), sollten Sie
diese Programme entfernen. HijackThis bietet dazu die Option "Fix checked".
Aber Achtung:
Löschen Sie keine Einträge, die nicht eindeutig als Sypware... gekennzeichnet sind.

Startprogramme der Windows Registry - ...\Run:
Auch hierbei hilft HijackThis. Mit der Kennzeichnung "04" werden Programme aufgelistet,
die durch den sogenannten Run-Key beim Rechnerstart aktiviert werden.

Zum Abgleich steht auf der Internetseite http://www.sysinfo.org/startuplist.php eine Liste mit Startup-Programmen zur Verfügung.


SysInfo.org

Kennzeichnungen der Listeneinträge geben Aufschluss über die Gefährlichkeit der einzelnen
Startprogramme:

Y - notwendiger Eintrag
N - nicht unbedingt erforderlich
U - nicht unbedingt erforderlich
X - bekannter Virus, Wurm, Spyware, Adware, ...
? - unbekannter Status

Ü bereinstimmung zwischen HijackThis und Sysinfo-Startuplist (mit X markiert) sollten entfernt werden.
Achtung:
Keine Einträge löschen, die nicht eindeutig als Virus, Wurm, Spyware, ... identifiziert sind!

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved.

Mehr Infos: Informationen aus dem BSI




Allmannsberger EDV- ITK Internet- Projekt- & Ideenagentur


Allmannsberger EDV - Die zuverlässige ITK - Fullserviceagentur
Infotelefon: (+49) 089 / 1402 - 974

 

 
 
  |     nach oben blätternnach obennach oben blättern

nach oben  

www.allmannsberger.de © copyright 1995 - 2020 by Allmannsberger edv-itk IT-Security & Consulting - all rights reseved.