Trojaner leitet Browser auf falsche Seiten [Update]

Seit dem gestrigen Mittwoch mehren sich Meldungen über Vorfälle, bei denen sich Anwender mit dem Trojaner QHosts-1 infiziert haben. QHosts-1 befällt Rechner über eine bisher nicht gepatchte Lücke im Internet Explorer 5, 5.5 und 6.0. Das Aufrufen einer HTML-Seite genügt bereits, um sich mit dem Trojaner zu infizieren.

Der Schädling modifiziert auf dem PC die Netzwerkeinstellungen zur Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des DNS-Servers durch neue IP-Adressen. Zusätzlich generiert er eine neue Hosts-Datei, um Anfragen an bekannte Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten. Ruft man im Browser nun eine Seite auf, weiß man nicht genau, wo man landet. Derjenige, der die Server kontrolliert, kann bestimmen, wohin die Browser- und Netzwerkanfragen umgeleitet werden. Man-in-the-Middle-Attacken zum Mitlauschen von Verbindungen sind damit relativ einfach, selbst wenn die Verbindungen mit SSL gesichert erscheinen.

Ist im Browser ein Proxy eingetragen, übernimmt dieser die Namensauflösung, sodass eine lokale Änderung der Einstellungen normalerweise keinen Einfluss darauf hat. Deshalb schaltet der Trojaner zusätzlich die Proxyeinstellungen im Browser aus. Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert und zum Download bereitgestellt. Ein Anleitung, wie man den Trojaner beseitigt und die Änderungen rückgangig macht, findet man bei Symantec

Qhosts-1 ist ein Trojaner, dem die Fähigkeit fehlt, sich selbst zu verbreiten. Daher nutzt er die bekannte Lücke im Internet Explorer. Da im Moment kein Patch für diese Lücke verfügbar ist, hilft das Abschalten von Active Scripting und ActiveX -- allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff über diese Lücke zwar manchmal erkennen und unterbinden, dies ist jedoch kein sicherer Schutz, da die Exploits sehr stark variieren. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen, sofern sie den Internet Explorer benutzen. Bis zum Erscheinen eines funktionierenden Sicherheitsupdates sollten Anwender andere Browser wie Opera oder Mozilla einsetzen.

Wer auf den Internet Explorer nicht verzichten kann, sollte die neue Version 2.0 des IEControllers verwenden, die in der kommenden c't-Ausgabe 21/03 ausführlich vorgestellt wird und am Wochenende auf den Projekt-Seiten der c't zur Verfügung steht. Bis dahin kann Version 1.0 hier bezogen werden: IEController 1.0

Der c't-IEController überwacht den Internet Explorer und verhindert zuverlässig die Ausführung von schädlichen Webinhalten sowie den Aufruf von Programmen durch den Browser. Außerdem kontrolliert das Tool Zugriffe auf lokale Dateien und Webserver. Dabei leidet der Komfort beim Surfen kaum: IEController kann etwa unbekannte ActiveX-Applets sperren, während nützliche Plug-ins wie der Acrobat Reader weiterhin funktionieren.

Siehe dazu auch: (dab)

• Passwort-Klau durch Lücke im Internet Explorer auf heise Security
• Demonstration des Sicherheitslochs im Browsercheck auf heise Security