|
  |
 Anti-Hijacker-Workshop (Update 06.01.2006) |
Cerberus 
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
 |
|
 Anti-Hijacker-Workshop (Update 06.01.2006) |
     |
Was ist Browser-Hijacking ?
Nach den Wurmattacken des letzten Jahres (weitere werden folgen), macht sich eine neue Internetseuche breit:
Das Entführen (Hijacking) auf unerwünschte Internetseiten durch rigide Manipulation des betroffenen Rechners .
Bekannt im negativsten Sinne wurde 2003 die 'Suchmaschine' Cool Web Search. Coolwebsearch (CWS) verbreitet immer neue Varianten trojanischer Pferde, um den ahnungslosen Surfer auf die eigene Seite umzuleiten, was in der Tat schon an Nötigung grenzt.
Die Trojaner der Hijacker nutzen eine Sicherheitslücke in der Virtual Machine von Windows und nisten sich in der Registry ein, um die von den Usern eingestellte Startseite im Internet Explorer erfolgreich zu manipulieren und uns auf ganz andere Webseiten zu "entführen".
Eine Liste der bisher bekannten Varianten befindet sich auf der Seite Hijackthis.de
Ich bin betroffen, was kann ich tun ?
Schritt 1:
Zunächst einmal sollte man sein System mit den bekannten Tools Ad-Aware
und Spybot
gründlich prüfen, wobei eine Aktualisierung der beiden Tools vor dem Scan natürlich sehr wichtig ist. Diese Maßnahme hat oft schon Erfolg, leider nicht in allen Fällen, besonders dann nicht, wenn die Hijacker agressiv gescriptet wurden.
Schritt 2:
Somit tritt die nächste Stufe unserer Hijacker-Abwehr in Kraft, für den wir weitere Software benötigen:
1. Download der Visual Basic 6.0-Laufzeitdateien
2. CoolWebShredder
3. HiJackThis
Anleitung für CoolWebShredder
Nach dem Download und Entpacken des Tools rufen wir zum ersten Mal CoolWebshredder auf, schließen aber vorher alle Browserfenster, da es sonst zu Irritationen kommt.
Wenn ihr Windows ME oder XP verwendet, schaltet bitte für unsere Reinigungsaktion die Systemwiederherstellung ab, dadurch wird der letzte Wiederherstellungspunkt gelöscht und wir bekommen keine Probleme mit einer neuerlichen Infektion, wenn die Systemwiederherstellung mal benötigt wird.
Wenn die Meldung MSVBVM60.DLL fehlt erscheint, installieren wir die oben aufgeführten Visual Basic 6.0-Laufzeitdateien. Dies ist in der Regel aber nur nötig, wenn ein veralteter und nicht aktualisierter Internet Explorer eingesetzt wird.
Nun prüfen wir zunächst einmal, ob eine neuere Version des Tools verfügbar ist, denn dies ist genauso wichtig wie die Aktualisierung eines Virenscanners oder anderer Safety-Komponenten.
Anschließend klicken wir auf "Next" und starten den eigentlichen Scan nach Hyjackern.
Mit dem nächsten Klick auf "Next" beenden wir den Scan und erhalten ein entsprechendes Resultat bzw. die Option die gefundenen Hijacker zu entfernen (
In unserem Beispiel ist das System sauber, was sich natürlich grundlegend von euren Scanergebnissen unterscheiden kann.
not present und not infected bedeuten übrigens, daß diese Such-Engines auf dem System nicht vorhanden sind.
Nach dem Klick auf den Button "Next" werden die Hijacker-Einträge aufgelistet, die man dann entfernen kann. Sicherheitshalber sollte nach einem Systemneustart das Tool solange ausgeführt werden, bis der Text erscheint Done! Your System was completly clean, wie es auf unserem letzten Screen ja zu sehen ist
Der Button "How do i prevent Pre-Infection?" (wie kann ich eine neue Infektion verhindern) sollte angeklickt werden, damit ihr euch entsprechend informieren könnt, was als Profilaxe möglich ist.
Sollte der Coolwebshredder nicht zum gewünschten Ziel führen, dann gibt es ein weiteres Tool, um den Hijackern den Garaus zu machen, das oben schon verlinkte HiJackThis.
Dieses Programm arbeitet ähnlich wie CoolWebshredder, erfordert aber etwas mehr Systemkenntnisse.
Einen englisch-sprachigen Workshop für die Identifizierung der jeweiligen Log-Einträge nach dem Scannen gibt es bei Hijackthis.de
.
Schritt 3:
Sollte wider Erwarten das System noch immer nicht clean sein, dann kann es sich um eine neue und besonders hartnäckige Hijacker-Variante handeln: der sp.exe
Dieser Prozess wird ebenfalls über CoolWebSearch eingeschleust und versucht uns nachhaltig auf die Webseite www.ntsearch.com
zu entführen.
Dieses kann man zunächst einmal manuell unterbinden:
1. Im Taskmanager den Prozess sp.exe beenden.
2. Die Datei sp.exe im Ordner C:\WINDOWS löschen.
3. In der Registry unter folgenden Pfad
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
den Eintrag "C:\WINDOWS\sp.exe" löschen.
4. Unter Windows ME und Windows XP die Systemwiederherstellung deaktivieren, um den letzten Wiederherstellungspunkt zu löschen.
5. Rechner neu starten.
6. Unter Windows ME und Windows XP die Systemwiederherstellung wieder aktivieren.
Achtung!
In besonders schwierigen Fällen, sollte Schritt 1-3 im abgesicherten Modus eures Betriebssystems wiederholt werden.
Nachbetrachtung
Unsere Empfehlungen lauten im Grunde immer gleich, sichert eure Systeme und aktualisiert eure Safety-Komponenten regelmäßig. Die ebenso ständig erforderliche Aktualisierung des Betriebssystems mag einigen lästig erscheinen, ist aber wie man wieder deutlich sieht, unabdingbar für eine halbwegs intakte Grundkonfiguration. Die Basis muß einfach stimmen und da ist das gelegentliche Einspielen von bestimmten Patches und Updates nach eigenem Gusto nicht viel mehr als Flickwerk und führt unweigerlich irgendwann zum GAU.
weiterführende Links:
Sicherheits-Workshop
Logfileauswertung für Hijackthis-Protokolle
HiJackThis-Logs richtig auswerten
Cleaner für Hijacker-sp.html
Cleaner für about :blank
Hijack Guard
Cerberus
|
|
22.01.2004 10:38 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
