Online-Entführung

Browser-Hijacking

Beim Surfen mit dem Internet Explorer besteht permanent in Gefahr, dass Angreifer die Kontrolle über den Browser übernehmen. Ist das der Fall, helfen die richtigen Einstellungen und Tools beim Säubern des IE.

Browser-Hijacking

© Archiv

Browser-Hijacking

Verhält sich der Internet Explorer neuerdings eigenartig und entwickelt eine gewisse Eigendynamik? Dann sind Sie mit Sicherheit Opfer eines Hijackers geworden, der den Browser manipuliert hat und ihn zukünftig für seine Zwecke missbraucht. Anzeichen dafür sind beispielsweise neue Startseiten, die der IE nach dem Start automatisch lädt, neue Toolbars und Umleitungen (Redirects) auf bestimmte Webseiten. Hijacker spionieren aber auch das Surfverhalten der arglosen Anwender aus. Dazu werden unbemerkt entsprechende Tracking-Cookies gesetzt, anhand derer der Weg durchs Netz zurückverfolgt werden kann und das Anlegen sehr detaillierter User-Profile möglich ist.

Die Hijacker nutzen hierfür in der Regel die umfassenden Scripting-Möglichkeiten des Microsoft- Browsers, vor allem die ActiveX-Technologie in Kombination mit den weitreichenden Rechten, die der Browser unter Windows von Haus aus besitzt. So reichen etwa einige Zeilen versteckten Codes im Quelltext einer Webseite aus, um entsprechende Einstellungen am Browser zu ändern. Auch in das System eingeschleuste Malware kann den Internet Explorer manipulieren.

Hijacker nutzen zudem Browser Helper Objects (BHO) des IE. Diese ausführbaren Programme erweitern die Funktionen des Internet Explorers und haben Zugriff auf alle Objekte und Ereignisse des Browsers. Somit ist auch eine Manipulation an den Einstellungen möglich. BHOs werden dem Internet Explorer mit dem Registry- Schlüssel HKEY_LOCAL_MACHINESoft wareMicrosoftWindowsCurrentVersion ExplorerBrowser Helper Objects bekannt gegeben.

Schadprogramme verwenden BHOs etwa für das User-Tracking oder zum Auslesen sämtlicher Information, die der Internet Explorer zu einem Server sendet, etwa Benutzernamen, Passwörter und Kontodaten. Browser-Hijacker verwenden ebenfalls BHOs, um Internetanfragen auf eigene Seiten umzulenken. Zum Aufspüren schädlicher BHOs mit HijackThis liefert die Webseite www. sysinfo.org/bholist.php gute Informationen über die Art der installierten Objekte.

Skripting-Optionen anpassen

Für ein Plus an Sicherheit sorgt man durch das Deaktivieren von Active-Skripting-Funktionen im Browser. ActiveX-Steuerelemente stellen ein hohes Sicherheitsrisiko dar und sollten nur nach ihrer Freigabe geladen und gestartet werden. Das Ausführen von unsignierten ActiveX-Controls sollten Sie auf jeden Fall unterbinden. Für das Setzen der Einstellungen im Internet Explorer wechseln Sie über Extras / Internetoptionen zum Register Sicherheit und klicken auf den Button Stufe anpassen. Standardmäßig ist die Stufe "Mittelhoch" im IE vorgegeben, was ein erster guter Kompromiss ist.

Browser-Hijacking

© Archiv

Die nachfolgenden Einstellungen sorgen für zusätzliche Sicherheit, gehen allerdings zu Lasten der Benutzbarkeit des Browsers. Sie müssen je nach Webseite immer wieder Warnhinweise bestätigen und das Ausführen von Scripten genehmigen. Mehr als 40 Detail- Einstellungen lassen sich im folgenden Dialog anpassen. Scrollen Sie nach unten zum Abschnitt ActiveX-Steuerelemente und Plugins. Folgende Optionen sollten gewählt werden:

  • ActiveX-Steuerelemente ausfuhren, die fur das Skripting sicher sind: Bestatigen
  • ActiveX-Steuerelemente initialisieren und ausfuhren, die nicht als sicher fur Skripting markiert sind (nicht sicher): Deaktivieren
  • ActiveX-Steuerelemente und Plug-ins ausfuhren: Bestatigen
  • Ausfuhren von bisher nicht verwendeten ActiveX-Steuerelementen ohne Eingabeaufforderung zulassen: Deaktivieren
  • Automatische Eingabeaufforderung fur ActiveX-Steuerelemente: Deaktivieren
  • Binar- und Skriptverhalten: Deaktivieren
  • Download von signierten ActiveX-Steuerelementen: Bestatigen
  • Download von unsignierten ActiveXSteuerelementen: Deaktivieren

Im Bereich Skripting finden Sie die Einstellungen für JScript und VBScript. Das pauschale Abschalten aller Funktionen ist nicht wirklich sinnvoll, da sonst permanent Warnhinweise und Fehlermeldungen weggeklickt werden müssen. Deaktivieren Sie Active Skripting und setzen Sie die zwei folgenden Einstellungen auf Bestätigen. Unter Verschiedenes schalten Sie dann noch die Punkte Installation von Desktopobjekten und Skripting des Internet-Explorer-Browsersteuerelements zulassen ab. Das Surfen im Web findet nunmehr unter Ausschluss der Hijacker statt.

ANGRIFFSZIEL REGISTRY

Browser-Hijacker können sich sehr hartnäckig im System festsetzen. In den meisten Fällen werden Schüssel in der Registrierungsdatenbank geändert, die das Verhalten des Internet Explorers steuern. Einige betroffene Registrierungs-Schlüssel sind:

HKEY_CURRENT_USERSoftwareMicrosoftInternet 
ExplorerMain 
Start Page= 
Search Page= 
Search Bar= 
SearchURL= 
HKEY_CURRENT_USERSoftwareMicrosoftInternet 
ExplorerSearch 
CustomizeSearch= 
SearchAssistant= 
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet 
ExplorerMain 
Start Page= 
Search Page= 
Search Bar= 
SearchURL= 
Default_Page_URL= 
Default_Search_URL= 
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet 
ExplorerSearch 
CustomizeSearch= 
SearchAssistant=

Browser-Hijacker aufspüren

Wurde der Internet Explorer aber bereits gekapert, müssen Sie in die Tiefen des Systems eintauchen und die Schädlinge entfernen. Dabei helfen beispielsweise Spezial-Tools wie die Freeware HijackThis (www.merijn.org oder www.trendsecure.com). Nach dem Download der rund 1,3 MByte großen Datei HiJackThis_v2.exe können Sie diese sofort ausführen und die Lizenzbestimmungen bestätigen.

Browser-Hijacking

© Archiv

Eine Online-Analyse des Logfiles von HijackThis liefert eine Übersicht über mögliche Malware auf dem PC.

Tipp: Manche Schadprogramme haben einen eingebauten Mechanismus, der das Starten von HijackThis verhindert. Ist das bei Ihnen der Fall, benennen Sie die Datei HiJack- This_v2.exe einfach um, etwa in programm. com. Der erste Teil des Namens ist frei wählbar, die Extension com ist aber zwingend notwendig.

Nach dem Programmstart starten Sie den Scan auf Ihrem Rechner mit einem Klick auf die Schaltfläche Do a system scan and save a logfile. HijackThis erzeugt einen Bericht, doch selbst erfahrene Nutzer haben Probleme, die Auswertungen zu verstehen.

Zunächst listet das Logfile alle laufenden Prozesse auf. Der interessante Teil folgt im Anschluss: Im Logfile sind alle Funde anhand einer Buchstaben-Zahlen-Kombination am Zeilenanfang klassifiziert: "R" steht für die Startund Suchseite des Internet Explorers. In der großen Gruppe O1 bis O23 zeigt HijackThis detailliert, welche Plug-ins und ActiveX-Controls sich im IE eingenistet haben oder welche Schädlinge beim Systemstart automatisch aktiv werden. Um herauszufinden, ob es sich bei den Programmen tatsächlich um schädliche Software handelt, können Sie den ID-Code kopieren und auf www.castlecops.com/ CLSID.html nachschlagen.

Weit komfortabler ist es, die Logdatei zur Analyse bei TrendMicro hochzuladen. Dort erhalten Sie eine erste Einschätzung des Scanreports. Noch mehr Aussagekraft hat indes die Auswertung des Logfiles auf der Webseite www.hijackthis.de. Kopieren Sie entweder den Inhalt der Logdatei in das Eingabefeld oder starten Sie den Upload der Logdatei über den entsprechenden Link. Nach einem Klick auf Auswerten startet die Analyse. Basierend auf Erfahrungsberichten von anderen Hijack- This-Anwendern gibt es in der Spalte Besucherbewertung noch eine genauere Einschätzung der Funde.

Für eine endgültige Beurteilung ist es allerdings noch zu früh. Ein genaueres Gutachten zu Ihrem Logfile erhalten Sie unter http://forum. hijackthis.de. Dort werten erfahrene HijackThis- User die Scanergebnisse aus, nach dem Sie Ihr HijackThis-Protokoll einfach in einem neuen Thread im Bereich "Support/HijackThis Logfiles" gepostet haben. Hilfreiche Tipps liefern gute Informationen zum weiteren Vorgehen.

Schädlinge entfernen

Mit einem kostenlosen Virenscanner wie AVG Free Edition 7.5 (http://free.grisoft.com), Antivir 7 Personal Edition (www.freeav.de) oder ClamAV (www.clamav.net) sowie den Spyware- Removern AdAware SE Personal (www.lavasoftusa.com) oder Spybot Search & Destroy (www.safer-networking.org) säubern Sie das System im ersten Schritt von bekannten Schädlingen. Anschließend zeigt ein zweiter Suchlauf von HijackThis, welche Störenfriede immer noch im System sitzen. Sollten immer noch Reste eines Browser-Hijackers im System stecken, müssen Sie diese direkt über HijackThis entfernen. Dazu setzen Sie ein Häkchen vor die entsprechenden Einträge und bestätigen mit fix checked.

Browser-Hijacking

© Archiv

Tipp: Ein anderer Trick der Browser-Hijacker ist es, eigene Seiten in den Bereich der vertrauenswürdigen Seiten zu legen (Register Sicherheit in den Internetoptionen). Somit können dann etwa Javascript- und ActiveX-Controls ausgeführt werden, obwohl dies in den Zoneneinstellungen ausgeschlossen ist. Der Trojaner CoolWebSearch ist ein typischer Vertreter. Unter www.intermute.com/spysubtract/ cwshredder_download.html laden Sie das Tool TrendMicro CWShredder 2.19, das sich der Entfernung des Trojaners annimmt.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.