Browser-Hijacking
Das Entführen (=Hijacking) auf nicht gewünschte
Internetseiten ist nicht neu. Die erste Form des
Hijacking's auf die Seiten von 'Coolwebsearch' wurde
bereits im Mai 2003 entdeckt. Seitdem sind eine Vielzahl
von Varianten hinzugekommen. Durch das Browser-Hijacking
werden die Einstellungen des Internet Explorers so
verändert, dass beim Start des Browsers unerwünschte
Seiten angezeigt werden bzw. eingegebene Adressen auf
andere Seiten umgeleitet werden. Auch die Favoriten (vom
Benutzer angelegte Bookmarks) werden ergänzt oder mitunter
sogar verändert. Teilweise kommt es vor, dass bestimmte
Seiten plötzlich überhaupt nicht mehr erreicht werden
können.
Beim Hijacking werden hauptsächlich bestehende
Sicherheitslücken im Microsoft Internet Explorer genutzt.
Hierzu zählen insbesondere Aktive Inhalte (Javascript,
Java Virtual Machine und ActiveX-Komponenten). Neben der
grundsätzlichen Fehlerbehaftung des Internet Explorers
sind falsche, bzw. zu schwache Sicherheitseinstellungen in
den Internetoptionen der Hauptgrund für die Ausführung
dieser Schadprogramme. Aber auch die mangelhafte Pflege des
Browsers öffnet den Schädlingen immer neue
Einfallsmöglichkeiten; die wenigsten Anwender
aktualisieren regelmäßig Ihr System mit den von Microsoft
bereitgestellten Patches und Updates. Hijacking ist zwar
auch bei anderen Browsern wie z. B. Mozilla Firefox
grundsätzlich möglich, es bedarf aber -im Gegensatz zum
Internet Explorer- der aktiven "Unterstützung" durch den
Surfer. Hier ist das gewollte Herunterladen und
Installieren einer schädlichen Browsererweiterung (auch
als PlugIn bekannt) erforderlich. Eine verborgene
Installation aufgrund zu schwacher Sicherheitseinstellungen
ist hier nicht möglich.
Bei den meisten Hijacker-Varianten werden eine Reihe von
Schlüsseln bzw. Werten in der Windows-Registrierung
(Registry) geändert, die das Verhalten des Internet
Explorers nachhaltig ändern. Neben den Änderungen im
Internet Explorer wird häufig auch ein Trojaner
installiert. Dieses sorgt dafür, dass die Veränderungen
vom Anwender nicht ohne weiteres wieder rückgängig
gemacht werden können. Änderungen, die der Anwender
zurückstellt, sind nach einem Reboot des Systems wieder
vorhanden. Ein anderer Trick der Browser-Hijacker ist es,
sich bzw. die entführten Seiten in die Zone
Vertrauenswürdigen Seiten des Internet Explorers zu legen.
Hierdurch werden die Sicherheitseinstellungen der Zone
Internet ausgehebelt, Javascript und ActiveX können
ausgeführt werden, obwohl die Zoneneinstellungen korrekt
sind. Ein weiterer möglicher unerwünschter Eingriff ist
das Anlegen eines neuen Browser Helper Objects. Hierbei
handelt es sich um ausführbare Programme die die
Funktionen des Internet Explorers erweitern. Mit dem BHO
des Adobe Acrobat Readers ist der Internet Explorer zum
Beispiel in der Lage, PDF-Dokumente direkt im
Browserfenster anzuzeigen. Browser-Hijacker verwenden
BHO's, um Internet-Anfragen auf eigene Seiten umzulenken.
Einige Tipps zur Vorbeugung finden Sie in Kürze auf diesen
Seiten!
|
