HiJackThis - Hintergründe






Das Entführen (das sogenannte Hijacking) auf nicht gewünschte Internetseiten ist nicht neu. Die erste Form des Hijackings auf die Seiten von 'Coolwebsearch' wurde bereits im Mai 2003 entdeckt. Seitdem sind eine Vielzahl von Varianten hinzugekommen. Durch das Browser-Hijacking werden die Einstellungen des Internet Explorers so verändert, dass beim Start des Browsers unerwünschte Seiten angezeigt werden, bzw. eingegebene Adressen auf andere Seiten umgeleitet werden. Zusätzlich können die sogenannten Favoriten verändert oder ergänzt werden. Ebenfalls kommt es vor, dass bestimmte Seiten nicht mehr erreicht werden.

Dieses Hijacking nutzt in allererster Linie bestehende Sicherheitslücken im Internet Explorer von Microsoft. Hierzu zählen insbesondere Aktive Inhalte (Javascript, Java Virtual Machine und ActiveX-Komponenten). Falsche, bzw. zu schwache Sicherheitseinstellungen in den Internetoptionen sind der Hauptgrund für die Ausführung dieser Schadprogramme. Hijacking ist zwar auch bei anderen Browsern wie z. B. Mozilla grundsätzlich möglich, es bedarf aber -im Gegensatz zum Internet Explorer- der aktiven "Unterstützung" durch den Surfer. Hier ist das gewollte Herunterladen und Installieren einer schädlichen Browsererweiterung (auch als PlugIn bekannt) erforderlich. Eine verborgene Installation aufgrund zu schwacher Sicherheitseinstellungen ist hier nicht möglich.

Bei den meisten Hijacker-Varianten werden eine Reihe von Schlüsseln bzw. Werten in der Windows-Registrierung (Registry) geändert, die das Verhalten des Internet Explorers nachhaltig ändern. Da die Zahl der veränderten Schlüssel und/oder Werte ständig steigt verzichten wir an dieser Stelle auf eine Auflistung möglicher Veränderungen.

Neben den Änderungen im Internet Explorer wird häufig auch ein Trojaner installiert. Dieses sorgt dafür, dass die Veränderungen vom Anwender nicht ohne weiteres wieder rückgängig gemacht werden können. Änderungen, die der Anwender zurückstellt, sind nach einem Reboot des Systems wieder vorhanden. Ein anderer Trick der Browser-Hijacker ist es, sich bzw. die entführten Seiten in die Zone Vertrauenswürdigen Seiten des Internet Explorers zu legen. Hierdurch werden die Sicherheitseinstellungen der Zone Internet ausgehebelt, Javascript und ActiveX können ausgeführt werden, obwohl die Zoneneinstellungen korrekt sind. Ein weiterer möglicher unerwünschter Eingriff ist das Anlegen eines neuen Browser Helper Objects. Hierbei handelt es sich um ausführbare Programme die die Funktionen des Internet Explorers erweitern. Mit dem BHO des Adobe Acrobat Readers ist der Internet Explorer zum Beispiel in der Lage, PDF-Dokumente direkt im Browserfenster anzuzeigen. Browser-Hijacker verwenden BHO's, um Internet-Anfragen auf eigene Seiten umzulenken.

Der Versuch einer chronologischen Auflistung bisher bekannter Varianten befindet sich zum Beispiel auf dieser englischsprachigen Seite. Mittlerweile vergeht kaum ein Tag im Web, an dem nicht eine neue und immer trickreichere Variante auftaucht. Dies geschieht so schnell, dass der Autor der cwschronicles mit dem nachpflegen der Seite gar nicht mehr nachkommt.

Quelle: © DerBilk - Webmaster von DerBilk.de

Urheberrechtliche Hinweise!

- nach oben -
Letze Aktualisierung: 13.02.2006