Wetterforum.com

Seit dem gestrigen Mittwoch mehren sich Meldungen über Vorfälle, bei denen sich Anwender mit dem Trojaner QHosts-1 infiziert haben. QHosts-1 befällt Rechner über eine bisher nicht gepatchte Lücke im Internet Explorer 5, 5.5 und 6.0. Das Aufrufen einer HTML-Seite genügt bereits, um sich mit dem Trojaner zu infizieren.

Der Schädling modifiziert auf dem PC die Netzwerkeinstellungen zur Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des DNS-Servers durch neue IP-Adressen. Zusätzlich generiert er eine neue Hosts-Datei, um Anfragen an bekannte Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten. Ruft man im Browser nun eine Seite auf, weiß man nicht genau, wo man landet. Derjenige, der die Server kontrolliert, kann bestimmen, wohin die Browser- und Netzwerkanfragen umgeleitet werden. Man-in-the-Middle-Attacken zum Mitlauschen von Verbindungen sind damit relativ einfach, selbst wenn die Verbindungen mit SSL gesichert erscheinen.

Ist im Browser ein Proxy eingetragen, übernimmt dieser die Namensauflösung, sodass eine lokale Änderung der Einstellungen normalerweise keinen Einfluss darauf hat. Deshalb schaltet der Trojaner zusätzlich die Proxyeinstellungen im Browser aus. Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert und zum Download bereitgestellt. Ein Anleitung, wie man den Trojaner beseitigt und die Änderungen rückgangig macht, findet man bei Symantec

Qhosts-1 ist ein Trojaner, dem die Fähigkeit fehlt, sich selbst zu verbreiten. Daher nutzt er die bekannte Lücke im Internet Explorer. Da im Moment kein Patch für diese Lücke verfügbar ist, hilft das Abschalten von Active Scripting und ActiveX -- allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff über diese Lücke zwar manchmal erkennen und unterbinden, dies ist jedoch kein sicherer Schutz, da die Exploits sehr stark variieren. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen, sofern sie den Internet Explorer benutzen. Bis zum Erscheinen eines funktionierenden Sicherheitsupdates sollten Anwender andere Browser wie Opera oder Mozilla einsetzen.

Quelle heise.de