Browser Hijacking/ Hijacker

Was ist Browser Hijacking?

Beim Browser-Hijacking werden die Einstellungen des MS IE durch ein externes Programm so modifiziert, dass beim Start des Browsers nicht die gewohnte Standard-Seite angezeigt wird, sondern dass Sie auf einer Werbeseite (oft mit pornografischem Inhalt) landen - also "entführt" (engl. "to hijack") werden. Dasselbe kann Ihnen auch passieren, wenn Sie eine Adresse (URL) neu oder gar falsch eigeben. In letzterem Fall sehen Sie dann die Werbeseite anstelle der Microsoft-Suchseite.
Zusätzlich können die Favouriten ergänzt bzw. verändert werden!

Symptome des Browser Hijacking im Überblick

Austausch Ihrer Startseite durch eine andere Seite, obwohl die "richtige" Seite unter Extras - Internetoptionen - Allgemein eingestellt ist. Diese Änderung ist i.a. nicht reversibel!
statt der Suchseite von Microsoft (z.B. beim Vertippen bzw. der Eingabe einer ungültigen URL) erscheint eine Werbeseite bzw. eine andere Suchseite.
die Standard-Suchseite kann nicht mehr aufgerufen werden (stattdessen: Werbeseite) bzw. während der Suche erscheinen Pop-Ups
nicht nachvollziehbare Links (zu einer Werbeseite) auf einer beliebigen Webpage
unbekannte/ ungewollte Einträge in den Favouriten

Oben genannte Probleme sind häufig mit dem Download/ Aufruf eines 0190-Dialers kombiniert

Wie erfolgt das Browser Hijacking?

Eines vorweg: Obwohl prinzipiell alle Browser modifiziert werden können, ist i.a. immer nur der MS IE betroffen. Dies liegt u.a. daran, dass nur beim Internet Explorer ohne Zutun des Users entsprechender Code ausgeführt werden kann - z.B. sog. "Browser Helper Objects" (BHO). Ein solches Programm ist z.B. der per E-Mail versendete Trojaner Startpage. Die Installation von BHOs kann allerdings auch auch über andere Wege, z.B. Active-X-Applets, erfolgen!
Achtung: BHOs können auch dazu verwendet werden, um das gesamte Userverhalten bzw. die Kommunikation mit einem Server (inkl. Passwords etc.) aufzuzeichnen!

Was wird durch den Browser Hijacker verändert?

Es gibt viele Stellen, an denen sich der Browser-Hijacker festsetzen kann. Nachfolgende Liste soll als Anhaltspunkt dienen, erhebt jedoch keinen Anspruch auf Vollständigkeit!

Am häufigsten werden Änderungen in der Registry durchgeführt:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

Zusätzlich wird unter HKEY_LOCAL_MACHINE\Microsoft\Windows\Current Version\Run ein häufig zusätzlich installierter Trojaner gestartet, der die o.g. Einstellungen beim Starten von Windows wieder herstellt.

Eine weitere Quelle der Veränderung ist das Hosts-File (c:\windows\system32\drivers\etc\hosts), das zur lokalen Namensauflösung verwendet wird und vor der Abfrage des DNS-Servers abgearbeitet wird. So kann einem beliebigen (gültigen) DNS-Namen eine beliebige IP-Adresse zugewiesen werden.

Selbstversuch:

Wenn Sie einmal ausprobieren wollen, wie das funktioniert, dann öffnen Sie die hosts-Datei (am Besten mit dem Notepad) und fügen - unterhalb der Zeile 127.0.0.1 local host - folgenden Eintrag hinzu: 216.109.118.65 www.google.com
Nun rufen Sie mit Ihrem Browser www.google.com auf - und wundern sich über nichts mehr!
Hinweis: Dieser Test ist vollkommen harmlos. Sie sollten nur am Ende nicht vergessen, den neu gemachten Eintrag (216.109.118.65 www.google.com) zu entfernen!

Entfernen des Browser Hijackers

Wie immer gibt es verschiedene Tools, um Ihren PC zu säubern. Die wichtigsten - für den privaten Gebrauch kostenlosen - Tools sind:

Spybot Search & Destroy	auch bei Tucows
CW Shredder	findet und entfernt "Cool Web Search" (CWS) - eine deutschsprachige Beschreibubg gibt's hier
Hijack This
weitere Programme

Sollten Sie mit dem Ergebnis der o.g. Programme nicht zufrieden sein, können Sie natürlich auch eine manuelle Säuberung durchführen. Hierzu untersuchen Sie alle o.g. Registry-Einträge auf verdächtige Änderungen/ Text. Zusätzlich sollten Sie Ihre registry noch nach dem Namen der umgeleiteten Webseite durchsuchen und diese löschen,

Genereller Schutz vor Browser Hijacking/ Hijacker

Wie oben schon erwähnt, ist i.a. immer der MS IE betroffen. Sie sollten deshalb (aber nicht nur deshalb) ernsthaft erwägen, auf einen anderen, sicheren Browser umzusteigen (z.B. Mozilla/ Firefox).
Zusätzlich sollten Sie natürlich immer einen aktuellen Virenscanner auf Ihrem rechner haben und keine unbekannten/ verdächtigen Anhänge öffnen. Denken Sie hierbei bitte daran, dass ein Spammer seine E-Mail mit jedem beliebigen Absender (also auch der von Freunden, Bekannten und Geschäftspartnern) versehen kann!

Weiterführende Links

Seite des BSI	umfassende und seriöse deutsche Seite des Bundesamtes für Sicherheit und Informationsschutz - Version zum Ausdrucken bei heise.de
Security Info	alles Wichtige auf einer (DIN A4) Seite
Browser Hijacking von Michael Harms	ausführliche Beschreibung bei/ von freenet.de
spywareinfo.com	ausführliche englische Seite
Beginners Guide	von PCSTATS (englisch)

Weitere Fragen posten Sie bitte in meinem Internet- und Security-Forum!
In besonderen Fällen stehe ich Ihnen auch gerne per E-Mail zur Verfügung!

[zurück zur Trojaner-Seite]

(Diese Seite wurde am 16.8.2004 erstellt,
der letzte Update fand statt am 16.8.2004

Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg