Weitere Infos zum Thema Spyware
Das Entführen (das sogenannte Hijacking) auf nicht gewünschte Internetseiten ist nicht neu. Die erste Form des Hijacking's auf die Seiten von 'Coolwebsearch' wurde bereits im Mai 2003 entdeckt. Seitdem sind eine Vielzahl von Varianten hinzugekommen. Durch das Browser-Hijacking werden die Einstellungen des Internet Explorers so verändert, dass beim Start des Browsers unerwünschte Seiten angezeigt werden, bzw. eingegebene Adressen auf andere Seiten umgeleitet werden. Zusätzlich können die sogenannten Favoriten verändert oder ergänzt werden. Ebenfalls kommt es vor, dass bestimmte Seiten nicht mehr erreicht werden.
Dieses Hijacking nutzt in allererster Linie bestehende Sicherheitslücken im alten Internet Explorer von Microsoft. Hierzu zählen insbesondere Aktive Inhalte (Javascript, Java Virtual Machine und ActiveX-Komponenten). Falsche, bzw. zu schwache Sicherheitseinstellungen in den Internetoptionen sind der Hauptgrund für die Ausführung dieser Schadprogramme. Hijacking ist zwar auch bei anderen Browsern wie z. B. Mozilla grundsätzlich möglich, es bedarf aber -im Gegensatz zum Internet Explorer- der aktiven "Unterstützung" durch den Surfer. Hier ist das gewollte Herunterladen und Installieren einer schädlichen Browsererweiterung (auch als PlugIn bekannt) erforderlich. Eine verborgene Installation aufgrund zu schwacher Sicherheitseinstellungen ist hier nicht möglich.
Bei den meisten Hijacker-Varianten werden eine Reihe von Schlüsseln
bzw. Werten in der Windows-Registrierung (Registry) geändert, die das
Verhalten des alten Internet Explorers nachhaltig ändern. Da die Zahl
der veränderten Schlüssel und/oder Werte ständig steigt verzichten
wir an dieser Stelle auf eine Auflistung möglicher Veränderungen.
Neben den Änderungen im Internet Explorer wird häufig auch ein
Trojaner installiert. Dieses sorgt dafür, dass die Veränderungen
vom Anwender nicht ohne weiteres wieder rückgängig gemacht werden
können. Änderungen, die der Anwender zurückstellt, sind nach
einem Reboot des Systems wieder vorhanden. Ein anderer Trick der Browser-Hijacker
ist es, sich bzw. die entführten Seiten in die Zone Vertrauenswürdigen
Seiten des Internet Explorers zu legen. Hierdurch werden die Sicherheitseinstellungen
der Zone Internet ausgehebelt, Javascript und ActiveX können ausgeführt
werden, obwohl die Zoneneinstellungen korrekt sind. Ein weiterer möglicher
unerwünschter Eingriff ist das Anlegen eines neuen Browser Helper Objects.
Hierbei handelt es sich um ausführbare Programme die die Funktionen
des Internet Explorers erweitern. Mit dem BHO des Adobe Acrobat Readers ist
der Internet Explorer zum Beispiel in der Lage, PDF-Dokumente direkt im Browserfenster
anzuzeigen. Browser-Hijacker verwenden BHO's, um Internet-Anfragen auf eigene
Seiten umzulenken.
Der Versuch einer chronologischen Auflistung bisher bekannter Varianten befindet sich zum Beispiel auf dieser englischsprachigen Seite. Mittlerweile vergeht kaum ein Tag im Web, an dem nicht eine neue und immer trickreichere Variante auftaucht. Dies geschieht so schnell, dass der Autor der cwschronicles mit dem nachpflegen der Seite gar nicht mehr nachkommt. Auch für uns von Trojaner-Info.de wäre es ein aussichtsloses Unterfangen, eine Liste über alle auftauchenden Varianten zu erstellen und aktuell zu halten. Im ebenfalls englischsprachigen Wilders Security Forum (Forum unserer offiziellen Partnerseite) besteht ein spezieller Thread in dem neu aufgetauchte Hijacker -und soweit schon möglich- auch Lösungsvorschläge genannt werden. Dieser Thread ist als Orientierung gut geeignet, wenn die im Folgenden aufgeführten Tools keine Lösung bieten.
Vorbeugung
Das beste Mittel gegen die Entführung des Browser ist die Vorbeugung.
Die neueste Variante des Microsoft Internetexplorers wird empfohlen. Ebenso
regelmäßige Windows-Sicherheits-Updates. Zusätzlich bietet
sich der mir bekannte SpywareBlaster (siehe Download) an.
Entfernung
Ist man einmal Opfer eines Browser-Hijackers geworden, können die folgenden
Tools bei der Bereinigung des befallenen Systems helfen. Wie bei Virenscannern
gilt auch hier, nicht jedes Programm findet jeden Hijacker. Es ist daher
empfehlenswert, sich nicht auf eines der Tools zu verlassen, sondern alle
Tools einzusetzen. Die hier vorgestellten Programme behindern sich nicht
gegenseitig und können problemlos parallel installiert sein.
Benutzer des Internet Explorers älterer Versionen von Microsoft schlagen sich eventuell mit einem besonders aggressiven Browser-Hijacker herum, der nur sehr schwer zu entfernen ist. Alle gängigen Tools wie beispielsweise der CWShredder, Spybot Search & Destroy, SpywareBlaster und Ad-aware sind zur Zeit nicht in der Lage, diesen Browser-Hijacker zu entfernen. Auch das bei den meisten Betroffenen mittlerweile hinlänglich bekannte 'fixen' mit HijackThis bringt keine dauerhafte Erlösung. Sieht es zunächst so aus, als wenn das Problem gelöst sei, so ist die ungewollte Entführung der Startseite spätestens nach 24 Stunden plötzlich wieder da.
Nachdem die nur 84 KB große Datei SpHjfix.exe heruntergeladen wurde, muss die Datei SpHjfix.exe durch einen Doppelklick gestartet und der Button "Desinfektion starten" gedrückt werden.
Danach muss das System neu gestartet werden.
Der Cleaner wird automatisch erneut gestartet um die Reinigung abzuschließen. Anschließend ist der Computer vom Hijacker befreit. Den CW-Shredder ist anschließend noch einmal auszuführen, da er noch einen verwaisten Registryeintrag entfernt.
Besonders beliebt sind hierfür Wallpaper- oder Sex-Seiten, da der Zugriff
auf diese Seiten stark frequentiert ist.
Hier sollen diese Einträge das Surfverhalten dokumentieren oder noch
schlimmer, den Surfer auf ganz bestimmte Internetseiten führen.
Ebenso werden mitunter Tastatureingaben ins Internet verschickt und z.B.
sensible Daten des Benutzers auf diese Weise für Unbefugte sichtbar.
Zum Beispiel wird die Startseite des Internetbrowsers so verändert,
dass immer eine bestimmte Startseite aufgerufen wird, egal was in den Interneteinstellungen
vom Benutzer eingetragen wurde.
Sogar der Eintrag "about:blank" für eine leere Startseite
wird dann ignoriert.
Damit nicht genug, sogar die Eingabe von z. B. "www.google.de" oder
anderer nützlicher Seiten werden benutzt, um den Surfer zu völlig
anderen Seiten zu schicken.
" Coolwebsearch" ist eines dieser Unternehmen auf diesem Gebiet.
Hier stelle ich einige Programme zum Schutz vor diesem Müll vor. Diese Programme wurden von mir getestet und bringen sehr gute Erfolge bei der Entfernung.
Lizenz
|
||||
AVG Viren & Trojanerscanner
|
free
|
|||
AVG Rootkitscanner
|
free
|
|||
AdAware
|
free
|
|||
BitDefender
|
free
|
|||
Spywareblaster
|
free
|
|||
SpHjfix.exe
|
free
|
|||
Vorbeugung
Die Vorbeugung gegen Hijacking ist mittlerweile durch regelmäßige Sicherheitsfixes durch Microsoft und das Verwenden des SpywareBlasters sowie aktueller Virenscanner prinzipiell gewährleistet.
Vorsicht:
Das prinzipielle Verwenden von der Software "Adaware" löscht
zwar eventuelle tiefere Surfspuren, führt aber eventuell bei z.B. kaskadiert
geschalteten Routern dazu, dass diese anschließend in der zweiten Hirarchie
nicht mehr per Browser erreicht werden können.
Buttons sind klickbar, Daten werden durch einfaches Maus-Over über Elemente und Schriften sichtbar.
Viel Spaß!
- Neue Wege finden, diese
_Wege zu gehen.
- Ideen finden, diese Ideen
_umzusetzen.
- Gemeinsame Ziele zu setzen,
_und diese fair verwirklichen.
- Das verstehe ich,
_unter Partnerschaft.