Weitere Infos zum Thema Spyware

Das Entführen (das sogenannte Hijacking) auf nicht gewünschte Internetseiten ist nicht neu. Die erste Form des Hijacking's auf die Seiten von 'Coolwebsearch' wurde bereits im Mai 2003 entdeckt. Seitdem sind eine Vielzahl von Varianten hinzugekommen. Durch das Browser-Hijacking werden die Einstellungen des Internet Explorers so verändert, dass beim Start des Browsers unerwünschte Seiten angezeigt werden, bzw. eingegebene Adressen auf andere Seiten umgeleitet werden. Zusätzlich können die sogenannten Favoriten verändert oder ergänzt werden. Ebenfalls kommt es vor, dass bestimmte Seiten nicht mehr erreicht werden.

Dieses Hijacking nutzt in allererster Linie bestehende Sicherheitslücken im alten Internet Explorer von Microsoft. Hierzu zählen insbesondere Aktive Inhalte (Javascript, Java Virtual Machine und ActiveX-Komponenten). Falsche, bzw. zu schwache Sicherheitseinstellungen in den Internetoptionen sind der Hauptgrund für die Ausführung dieser Schadprogramme. Hijacking ist zwar auch bei anderen Browsern wie z. B. Mozilla grundsätzlich möglich, es bedarf aber -im Gegensatz zum Internet Explorer- der aktiven "Unterstützung" durch den Surfer. Hier ist das gewollte Herunterladen und Installieren einer schädlichen Browsererweiterung (auch als PlugIn bekannt) erforderlich. Eine verborgene Installation aufgrund zu schwacher Sicherheitseinstellungen ist hier nicht möglich.

Bei den meisten Hijacker-Varianten werden eine Reihe von Schlüsseln bzw. Werten in der Windows-Registrierung (Registry) geändert, die das Verhalten des alten Internet Explorers nachhaltig ändern. Da die Zahl der veränderten Schlüssel und/oder Werte ständig steigt verzichten wir an dieser Stelle auf eine Auflistung möglicher Veränderungen.
Neben den Änderungen im Internet Explorer wird häufig auch ein Trojaner installiert. Dieses sorgt dafür, dass die Veränderungen vom Anwender nicht ohne weiteres wieder rückgängig gemacht werden können. Änderungen, die der Anwender zurückstellt, sind nach einem Reboot des Systems wieder vorhanden. Ein anderer Trick der Browser-Hijacker ist es, sich bzw. die entführten Seiten in die Zone Vertrauenswürdigen Seiten des Internet Explorers zu legen. Hierdurch werden die Sicherheitseinstellungen der Zone Internet ausgehebelt, Javascript und ActiveX können ausgeführt werden, obwohl die Zoneneinstellungen korrekt sind. Ein weiterer möglicher unerwünschter Eingriff ist das Anlegen eines neuen Browser Helper Objects. Hierbei handelt es sich um ausführbare Programme die die Funktionen des Internet Explorers erweitern. Mit dem BHO des Adobe Acrobat Readers ist der Internet Explorer zum Beispiel in der Lage, PDF-Dokumente direkt im Browserfenster anzuzeigen. Browser-Hijacker verwenden BHO's, um Internet-Anfragen auf eigene Seiten umzulenken.

Der Versuch einer chronologischen Auflistung bisher bekannter Varianten befindet sich zum Beispiel auf dieser englischsprachigen Seite. Mittlerweile vergeht kaum ein Tag im Web, an dem nicht eine neue und immer trickreichere Variante auftaucht. Dies geschieht so schnell, dass der Autor der cwschronicles mit dem nachpflegen der Seite gar nicht mehr nachkommt. Auch für uns von Trojaner-Info.de wäre es ein aussichtsloses Unterfangen, eine Liste über alle auftauchenden Varianten zu erstellen und aktuell zu halten. Im ebenfalls englischsprachigen Wilders Security Forum (Forum unserer offiziellen Partnerseite) besteht ein spezieller Thread in dem neu aufgetauchte Hijacker -und soweit schon möglich- auch Lösungsvorschläge genannt werden. Dieser Thread ist als Orientierung gut geeignet, wenn die im Folgenden aufgeführten Tools keine Lösung bieten.

Vorbeugung
Das beste Mittel gegen die Entführung des Browser ist die Vorbeugung. Die neueste Variante des Microsoft Internetexplorers wird empfohlen. Ebenso regelmäßige Windows-Sicherheits-Updates. Zusätzlich bietet sich der mir bekannte SpywareBlaster (siehe Download) an.

Entfernung
Ist man einmal Opfer eines Browser-Hijackers geworden, können die folgenden Tools bei der Bereinigung des befallenen Systems helfen. Wie bei Virenscannern gilt auch hier, nicht jedes Programm findet jeden Hijacker. Es ist daher empfehlenswert, sich nicht auf eines der Tools zu verlassen, sondern alle Tools einzusetzen. Die hier vorgestellten Programme behindern sich nicht gegenseitig und können problemlos parallel installiert sein.

Benutzer des Internet Explorers älterer Versionen von Microsoft schlagen sich eventuell mit einem besonders aggressiven Browser-Hijacker herum, der nur sehr schwer zu entfernen ist. Alle gängigen Tools wie beispielsweise der CWShredder, Spybot Search & Destroy, SpywareBlaster und Ad-aware sind zur Zeit nicht in der Lage, diesen Browser-Hijacker zu entfernen. Auch das bei den meisten Betroffenen mittlerweile hinlänglich bekannte 'fixen' mit HijackThis bringt keine dauerhafte Erlösung. Sieht es zunächst so aus, als wenn das Problem gelöst sei, so ist die ungewollte Entführung der Startseite spätestens nach 24 Stunden plötzlich wieder da.

Nachdem die nur 84 KB große Datei SpHjfix.exe heruntergeladen wurde, muss die Datei SpHjfix.exe durch einen Doppelklick gestartet und der Button "Desinfektion starten" gedrückt werden.

Danach muss das System neu gestartet werden.

Der Cleaner wird automatisch erneut gestartet um die Reinigung abzuschließen. Anschließend ist der Computer vom Hijacker befreit. Den CW-Shredder ist anschließend noch einmal auszuführen, da er noch einen verwaisten Registryeintrag entfernt.

Seit einiger Zeit gibt es Entwicklungen, welche dem Internetbenutzer das Surfen schwer machen.
Fiese Tools werden dem Surfer beim Besuch von verschiedenen Seiten netterweise mitgegeben, d.h. einfach ohne seine Erlaubnis heimlich auf seinem Rechner installiert.

Besonders beliebt sind hierfür Wallpaper- oder Sex-Seiten, da der Zugriff auf diese Seiten stark frequentiert ist.
Hier sollen diese Einträge das Surfverhalten dokumentieren oder noch schlimmer, den Surfer auf ganz bestimmte Internetseiten führen.
Ebenso werden mitunter Tastatureingaben ins Internet verschickt und z.B. sensible Daten des Benutzers auf diese Weise für Unbefugte sichtbar.

Zum Beispiel wird die Startseite des Internetbrowsers so verändert, dass immer eine bestimmte Startseite aufgerufen wird, egal was in den Interneteinstellungen vom Benutzer eingetragen wurde.
Sogar der Eintrag "about:blank" für eine leere Startseite wird dann ignoriert.
Damit nicht genug, sogar die Eingabe von z. B. "www.google.de" oder anderer nützlicher Seiten werden benutzt, um den Surfer zu völlig anderen Seiten zu schicken.
" Coolwebsearch" ist eines dieser Unternehmen auf diesem Gebiet.

Hier stelle ich einige Programme zum Schutz vor diesem Müll vor. Diese Programme wurden von mir getestet und bringen sehr gute Erfolge bei der Entfernung.

			Lizenz
AVG Viren & Trojanerscanner		Download	free
AVG Rootkitscanner		Download	free
AdAware		Download	free
BitDefender		Download	free
Spywareblaster		Download	free
SpHjfix.exe		Download	free

Vorbeugung

Die Vorbeugung gegen Hijacking ist mittlerweile durch regelmäßige Sicherheitsfixes durch Microsoft und das Verwenden des SpywareBlasters sowie aktueller Virenscanner prinzipiell gewährleistet.

Vorsicht:
Das prinzipielle Verwenden von der Software "Adaware" löscht zwar eventuelle tiefere Surfspuren, führt aber eventuell bei z.B. kaskadiert geschalteten Routern dazu, dass diese anschließend in der zweiten Hirarchie nicht mehr per Browser erreicht werden können.