Browser-Hijacking
Umleitung von Browser-Anfragen auf fremde Internetseiten
Mit Browser-Hijacking werden die Einstellungen des Internet Explorers so verändert, dass beim Start des Browsers Werbeseiten angezeigt werden, oder eingegebene Adressen zunächst auf Werbeseiten landen. Vertippt man sich bei der Eingabe der Internetadresse, erhält man beim Internet Explorer normalerweise eine Suchseite von Microsoft mit der Information, dass die Seite mit der eingegebenen Adresse nicht existiert. Browser-Hijacker ändern den Internet Explorer so, dass in diesem Fall die Werbeseite geladen wird. Ebenso wird der sogenannte Suchassistent – das ist der linke Bereich im Browserfenster, wenn man auf die Schaltfläche "Suchen" klickt – für solche Werbezwecke missbraucht. Zusätzlich werden die sogenannten Favoriten verändert oder ergänzt.
Änderungen im Internet Explorer werden unter anderem durch Internetseiten
durchgeführt, die Aktive Inhalte (Javascript und ActiveX-Komponenten)
enthalten. Dabei sind falsche, beziehungweise schwache Sicherheitseinstellungen
in den Internetoptionen der Hauptgrund für die Ausführung dieser Schadprogramme.
Wie von Internetwürmern, werden auch von Browser-Hijackern Schwachstellen im
Betriebssystem oder in Programmen (z. B. Java VM) ausgenutzt, um sich einzunisten.
Das Trojanische Pferd Startpage beispielsweise wird als E-Mail-Nachricht
mit einer ZIP-Datei als Anhang versendet. In dieser ZIP-Datei ist eine HTML-Datei
und ein EXE-Programm enthalten. Beim Ansehen der HTML-Datei wird durch eine
Schwachstelle im Internet Explorer 5.0 das EXE-Programm automatisch ausgeführt. Startpage ändert
so die Startseite des Internet Explorers für seine Werbezwecke.
Es gibt eine Reihe von Möglichkeiten für Browser-Hijacker sich im System hartnäckig festzusetzen. In den meisten Fällen werden Schüssel in der Windows-Registrierung geändert, die das Verhalten des Internet Explorers ändern.
Einige betroffene Registrierungs-Schlüssel sind:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
HKCU\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=
HKLM\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
Default_Page_URL=
Default_Search_URL=
HKLM\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=
Anmerkung:
HKCU steht für den Hauptschlüssel HKEY_CURRENT_USER
HKLM steht für den Hauptschlüssel HKEY_LOCAL_MACHINE
Neben den Änderungen im Internet Explorer wird häufig auch ein Trojanisches Pferd installiert. Dieses sorgt dafür, dass die Veränderungen vom Benutzer nicht einfach wieder rückgängig gemacht werden können. Änderungen, die der Anwender zurückstellt, sind nach einem Neustart wieder vorhanden. Dazu wird oft der Registrierungs-Schlüssel:
HKLM\Software\Microsoft\Windows\Current Version\Run
verwendet. Durch einen Eintrag in diesem Schlüssel wird das Schadprogramme beim Systemstart aktiviert. Dieses stellt die Einstellungen des Internet Explorers wieder auf die gewünschten Werte.
Ein anderer Trick der Browser Hijacker ist es, eigene Seiten in den Bereich der vertrauenswürdigen Seiten zu legen (Register "Sicherheit" in den Internetoptionen). Damit werden die Sicherheitseinstellungen der Zone Internet umgangen. So können Javascript und ActiveX ausgeführt werden, obwohl die Zoneneinstellungen korrekt sind. Der CWS-Trojan (Cool Web Search Trojan) macht dies beispielsweise.
Hijacker nutzen Browser Helper Objects
Browser Helper Objects (BHO) sind ausführbare Programme die die Funktionen des Internet Explorers erweitern. BHOs werden ab Version 4 des Internet Explorers eingesetzt.
BHOs haben Zugriff auf alle Objekte und Ereignisse des Internet Explorers und sind damit in der Lage, das Verhalten des Browsers zu manipulieren. Mit dem BHO "Adobe Acrobat add-in" ist der Internet Explorer beispielsweise in der Lage, Acrobat-Dokumente im Browserfenster anzuzeigen. Viren-Schutzprogramme haben teilweise eine Internet Explorer-Erweiterung in Form eines BHOs, mit dem sie Internetseiten auf Viren prüfen. Es gibt im Internet Explorer allerdings keinerlei Möglichkeit, die Existenz von BHOs nachzuweisen.
Browser Helper Objects sind Programme in Dateien mit einer DLL-Erweiterung. Diese werden dem Internet Explorer mit einem Registrierungs-Schlüssel bekannt gegeben. Der Schlüssel lautet:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Schlüsselnamen der nächsten Registrierungsebene markieren ein BHO. Leider handelt es sich bei den Bezeichnungen nicht um lesbare BHO-Namen, sondern um sog. CLSIDs (Class Identifier).
Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Mit Hilfe dieser CLSID kann man im Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID
die zugehörige BHO-Information (Name des BHO, Dateiname der DLL) finden.
AcroIEHelper.AcroIEHlprObj.1
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Schadprogramme verwenden BHOs, um das Benutzerverhalten im Internet aufzuzeichnen und diese Informationen beispielsweise an Server von Marketing-Unternehmen zu senden. Außerdem können sie sämtliche Information abgreifen, die der Internet Explorer zu einem Internet-Server sendet, einschließlich Benutzernamen, Kennwörter oder Kreditkarteninformationen. Browser-Hijacker verwenden BHOs, um Internet-Anfragen auf eigene Seiten umzulenken.
Methoden der Entfernung
Die Inspektion der oben genannten Registrierungs-Schlüsseln und die manuelle Entfernung von geänderten Einträgen ist sicherlich eine Methode. Dabei ist die Gefahr eines Fehlers gerade für ungeübte Anwender jedoch recht groß. Spezielle Programme (Tools) nehmen dem Anwender diese Arbeit ab. Sie haben zudem den Vorteil des Updates, mit dem sie auf den neusten Stand gebracht werden können.
Ad-aware ist ein bekanntes (für private Anwendung kostenloses) Tool zur Suche und Entfernung von Software, die die Privatsphäre und die Sicherheit des Computers beeinträchtigt. Dieses Tool erkennt Sypware, Trojanische Pferde, Browser Hijacking, Malware, Keylogger, ...
Spybot Search&Destroy
Spybot S&D ist
ein Freeware-Tool zur Erkennung von Spyware, Adware, Keylogger,
Trojanische Pferde, …
Diese Programme sind nicht nur für Browser-Hijacker entwickelt.
Sie erkennen aber die meisten Browser-Hijacker.
Die Programme ersetzten keine Viren-Schutzprogramme.
HijackThis
HijackThis sucht
nach Programmen, die beim Start des Computers aktiviert werden.
Es gibt viele Möglichkeiten, ein Programm beim Systemstart
zu aktivieren und es werden auch viele Programme beim Start des
Computers aktiviert. HijackThis listet alle Programme auf; der
Benutzer muss dann entscheiden, ob ein bestimmtes Programm schädlich
ist, oder ob es zu einer legitimen Software gehört. Dazu
stehen Listen im Internet zur Verfügung.
Auf Wunsch des Benutzers kann HijackThis einzelne Programme
löschen. Eine deutsche
Anleitung zu
dem Programm ist verfügbar.
Browser Helper Objects BHO mit HijackThis aufspüren:
Ein Abgleich mit der BHO-Liste auf der Seite http://www.sysinfo.org/bholist.php gibt
Informationen über die Art der installierten Objekte.
In dieser Liste werden BHOs gekennzeichnet mit:
X - Spyware, Malware, "Hijackware"
L - legitime Software
O - offener Status (noch keine klare Meinung)
? - unbekannter Status
Gibt es Übereinstimmungen in den Listen von HijackThis
und Sysinfo-BHO, die als
Spyware, Malware oder Hijackware gekennzeichnet ist (Markierung mit X), sollten
Sie
diese Programme entfernen. HijackThis bietet dazu die Option "Fix checked".
Aber Achtung:
Löschen Sie keine Einträge, die nicht eindeutig als Sypware… gekennzeichnet
sind.
Startprogramme der Windows Registry - …\Run:
Auch hierbei hilft HijackThis. Mit der Kennzeichnung "04" werden
Programme aufgelistet,
die durch den sogenannten Run-Key beim Rechnerstart aktiviert werden.
Zum Abgleich steht auf der Internetseite http://www.sysinfo.org/startuplist.php eine Liste mit Startup-Programmen zur Verfügung.
Kennzeichnungen der Listeneinträge geben Aufschluss über
die Gefährlichkeit der einzelnen
Startprogramme:
Y - notwendiger Eintrag
N - nicht unbedingt erforderlich
U - nicht unbedingt erforderlich
X - bekannter Virus, Wurm, Spyware, Adware, …
? - unbekannter Status
Übereinstimmung zwischen HijackThis und Sysinfo-Startuplist
(mit X markiert) sollten entfernt werden.
Achtung:
Keine Einträge löschen, die nicht eindeutig als Virus, Wurm,
Spyware, … identifiziert
sind!