Vorsicht: Neuer Trojaner
Verfasst: Fr 3. Okt 2003, 18:15
Moin,
hier eine Warnung die heute in der Newgroup t-online.info.aktuell veröffentlicht wurde. Sieht nicht gerade schön aus, aber man kann es noch lesen:
Betreff: [Internet Explorer] Browser-'Hijacking' durch Trojanisches Pferd
Datum: Fri, 03 Oct 2003 12:25:01 +0200
Von: T-Online-Team@t-online.com (T-Online-Team)
Firma: T-Online
Diskussionsforen: t-online.info.aktuell,t-online.programme.webbrowser,t-online.talk.internet
Follow-Up an: t-online.programme.webbrowser
(Quelle: <http://www.heise.de/newsticker/data/dab-02.10.03-000>)
Liebe Teilnehmer und Kunden von T-Online,
laut dem Heise-Newsticker mehren sich derzeit Meldungen über Vorfälle,
bei denen sich Anwender mit dem Trojaner QHosts-1 [0] infiziert haben.
QHosts-1 befällt Rechner über eine Sicherheitslücke im Internet Explorer
der Versionen 5-6. [1] Bereits das Aufrufen einer HTML-Seite kann
genügen, um sich mit dem Trojanischen Pferd zu infizieren.
Die Schadsoftware verändert auf dem PC die Netzwerkeinstellungen zur
Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des
DNS-Servers durch neue IP-Adressen und deaktiviert im Internet Explorer
die Proxy-Konfiguration, da sonst der konfigurierte Proxy-Server die
Namensauflösung vornehmen würde. [2] Zusätzlich legt er eine neue
Hosts-Datei [3] an, um Anfragen an bekannte Suchmaschinen an andere
Adressen umzuleiten. Wer die Server [4] kontrolliert, kann bestimmen,
wohin die Browser- und Netzwerkanfragen umgeleitet werden und was dem
Besucher dieser Server schließlich vorgespiegelt wird.
Abhilfe: Für den Internet Explorer der Versionen 5.0-5.5 ist keine
bekannt, weshalb ein Update auf Version 6.0 anzuraten ist. In diesem
wären dann allerdings noch "Active Scripting" und "ActiveX" in den
Internetoptionen zu deaktivieren. [5] Dies sollte man zumindest für die
"Internetzone" machen, um dann Sites und/oder Domänen, denen man
Vertrauen entgegenbringt, explizit in die Zone der "Vertrauenswürdigen
Sites" aufzunehmen.
Personal Firewalls und Antivirenprogramme können auch bei aktuellem
Stand den Angriff nur unzuverlässig erkennen, da die Exploits sehr stark
variieren. Auf Grund dessen sind die konkreten Angaben auf [0] bezüglich
der Pfad- und Dateinamen auch nur auf eine spezielle Variante dieser
Schadsoftware abgestimmt.
Hinweis: Wenn dieses Trojanische Pferd bereits installiert wurde, hilft
es nicht oder nur sehr bedingt, einen anderen Browser zu verwenden, da
die Netzwerkeinstellungen von Windows verändert wurden. Allein die
Abschaltung eines ggf. konfigurierten Proxy-Servers wirkt sich dann auf
Opera, Mozilla & Co. nicht aus.
Fußnoten:
[0] Informationen dazu: <http://vil.nai.com/vil/content/v_100719.htm>
Dort ist auch eine Anleitung zur Entfernung dieser Schadsoftware zu
finden.
[1] Bisher erwiesen sich zwei zur Behebung dieses Bugs zur Verfügung
gestellte Patches von Microsoft als wirkungslos.
[2] Die korrekte Einstellung lautet, sich die IP-Adressen bei der
Einwahl zuweisen zu lassen, sofern man keinen Router benutzt.
Anwender, die die T-Online-Software benutzen, dürften von dieser
Schadroutine nicht betroffen sein, aber sehr wohl von der Änderung
der Hosts-Datei. [3]
[3] Die Hosts-Datei findet sich unter Windows NT/2k/XP im Pfad
"%windir%\system32\drivers\etc\" und trägt den Namen "hosts" (ohne
Dateiextension). Unter Windows 9x/ME findet sich die Hosts-Datei
hingegen im Windows-Verzeichnis. "QHosts-1" legt jedoch eine Hosts-
Datei in einem anderen Verzeichnis an und trägt den Pfad zur Hosts-
Datei dann in die Registry ein. Siehe auch unter [0].
[4] Die vom Trojanischen Pferd eingetragenen Nameserver und deren
falsche Auflösungen, ebenso die in der Hosts eingetragenen Server.
[5] Eine feinere Abstufung der Sicherheitsoptionen ist mit dem
sogenannten "IEController" möglich. Dieser ermöglicht es, proprie-
täre Microsoft-Erweiterungen von Standards wie etwa JavaScript
gezielt auszuschalten. D.h., JavaScript funktioniert weiterhin,
"Spezialbefehle" werden abgefangen. Beschreibungen zum Programm
findet der interessierte Nutzer unter dem URL
<http://www.heise.de/ct/ftp/projekte/iecontroller>.
(Für das Wochenende ist ein neues Release angekündigt.)
Mit freundlichen Grüßen
Ihr T-Online-Team
Gruppenwechsel nach <news:t-online.programme.webbrowser> veranlasst.
--
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
mailto:T-Online-Team@t-online.com
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
hier eine Warnung die heute in der Newgroup t-online.info.aktuell veröffentlicht wurde. Sieht nicht gerade schön aus, aber man kann es noch lesen:
Betreff: [Internet Explorer] Browser-'Hijacking' durch Trojanisches Pferd
Datum: Fri, 03 Oct 2003 12:25:01 +0200
Von: T-Online-Team@t-online.com (T-Online-Team)
Firma: T-Online
Diskussionsforen: t-online.info.aktuell,t-online.programme.webbrowser,t-online.talk.internet
Follow-Up an: t-online.programme.webbrowser
(Quelle: <http://www.heise.de/newsticker/data/dab-02.10.03-000>)
Liebe Teilnehmer und Kunden von T-Online,
laut dem Heise-Newsticker mehren sich derzeit Meldungen über Vorfälle,
bei denen sich Anwender mit dem Trojaner QHosts-1 [0] infiziert haben.
QHosts-1 befällt Rechner über eine Sicherheitslücke im Internet Explorer
der Versionen 5-6. [1] Bereits das Aufrufen einer HTML-Seite kann
genügen, um sich mit dem Trojanischen Pferd zu infizieren.
Die Schadsoftware verändert auf dem PC die Netzwerkeinstellungen zur
Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des
DNS-Servers durch neue IP-Adressen und deaktiviert im Internet Explorer
die Proxy-Konfiguration, da sonst der konfigurierte Proxy-Server die
Namensauflösung vornehmen würde. [2] Zusätzlich legt er eine neue
Hosts-Datei [3] an, um Anfragen an bekannte Suchmaschinen an andere
Adressen umzuleiten. Wer die Server [4] kontrolliert, kann bestimmen,
wohin die Browser- und Netzwerkanfragen umgeleitet werden und was dem
Besucher dieser Server schließlich vorgespiegelt wird.
Abhilfe: Für den Internet Explorer der Versionen 5.0-5.5 ist keine
bekannt, weshalb ein Update auf Version 6.0 anzuraten ist. In diesem
wären dann allerdings noch "Active Scripting" und "ActiveX" in den
Internetoptionen zu deaktivieren. [5] Dies sollte man zumindest für die
"Internetzone" machen, um dann Sites und/oder Domänen, denen man
Vertrauen entgegenbringt, explizit in die Zone der "Vertrauenswürdigen
Sites" aufzunehmen.
Personal Firewalls und Antivirenprogramme können auch bei aktuellem
Stand den Angriff nur unzuverlässig erkennen, da die Exploits sehr stark
variieren. Auf Grund dessen sind die konkreten Angaben auf [0] bezüglich
der Pfad- und Dateinamen auch nur auf eine spezielle Variante dieser
Schadsoftware abgestimmt.
Hinweis: Wenn dieses Trojanische Pferd bereits installiert wurde, hilft
es nicht oder nur sehr bedingt, einen anderen Browser zu verwenden, da
die Netzwerkeinstellungen von Windows verändert wurden. Allein die
Abschaltung eines ggf. konfigurierten Proxy-Servers wirkt sich dann auf
Opera, Mozilla & Co. nicht aus.
Fußnoten:
[0] Informationen dazu: <http://vil.nai.com/vil/content/v_100719.htm>
Dort ist auch eine Anleitung zur Entfernung dieser Schadsoftware zu
finden.
[1] Bisher erwiesen sich zwei zur Behebung dieses Bugs zur Verfügung
gestellte Patches von Microsoft als wirkungslos.
[2] Die korrekte Einstellung lautet, sich die IP-Adressen bei der
Einwahl zuweisen zu lassen, sofern man keinen Router benutzt.
Anwender, die die T-Online-Software benutzen, dürften von dieser
Schadroutine nicht betroffen sein, aber sehr wohl von der Änderung
der Hosts-Datei. [3]
[3] Die Hosts-Datei findet sich unter Windows NT/2k/XP im Pfad
"%windir%\system32\drivers\etc\" und trägt den Namen "hosts" (ohne
Dateiextension). Unter Windows 9x/ME findet sich die Hosts-Datei
hingegen im Windows-Verzeichnis. "QHosts-1" legt jedoch eine Hosts-
Datei in einem anderen Verzeichnis an und trägt den Pfad zur Hosts-
Datei dann in die Registry ein. Siehe auch unter [0].
[4] Die vom Trojanischen Pferd eingetragenen Nameserver und deren
falsche Auflösungen, ebenso die in der Hosts eingetragenen Server.
[5] Eine feinere Abstufung der Sicherheitsoptionen ist mit dem
sogenannten "IEController" möglich. Dieser ermöglicht es, proprie-
täre Microsoft-Erweiterungen von Standards wie etwa JavaScript
gezielt auszuschalten. D.h., JavaScript funktioniert weiterhin,
"Spezialbefehle" werden abgefangen. Beschreibungen zum Programm
findet der interessierte Nutzer unter dem URL
<http://www.heise.de/ct/ftp/projekte/iecontroller>.
(Für das Wochenende ist ein neues Release angekündigt.)
Mit freundlichen Grüßen
Ihr T-Online-Team
Gruppenwechsel nach <news:t-online.programme.webbrowser> veranlasst.
--
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
mailto:T-Online-Team@t-online.com
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
Damit der Internet Explorer auch ja die Füße still hält habe ich gleich der Firewall gesagt, daß der Internet Explorer nicht ins Internet darf.