Trojaner-Board - Trojaner leitet Browser auf falsche Seiten

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner leitet Browser auf falsche Seiten (https://www.trojaner-board.de/1527-trojaner-leitet-browser-falsche-seiten.html)

http://www.heise.de/newsticker/data/dab-02.10.03-000/

Trojaner leitet Browser auf falsche Seiten

Seit dem gestrigen Mittwoch mehren sich Meldungen über Vorfälle, bei denen sich Anwender mit dem Trojaner QHosts-1 infiziert haben. QHosts-1 befällt Rechner über eine bisher nicht gepatchte Lücke im Internet Explorer 5, 5.5 und 6.0. Das Aufrufen einer HTML-Seite genügt bereits, um sich mit dem Trojaner zu infizieren.
Anzeige

Der Schädling modifiziert auf dem PC die Netzwerkeinstellungen zur Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des DNS-Servers durch neue IP-Adressen. Zusätzlich generiert er eine neue Hosts-Datei, um Anfragen an bekannte Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten. Ruft man im Browser nun eine Seite auf, weiß man nicht genau, wo man landet. Derjenige, der die Server kontrolliert, kann bestimmen, wohin die Browser- und Netzwerkanfragen umgeleitet werden. Man-in-the-Middle-Attacken zum Mitlauschen von Verbindungen sind damit relativ einfach, selbst wenn die Verbindungen mit SSL gesichert erscheinen.

Ist im Browser ein Proxy eingetragen, übernimmt dieser die Namensauflösung, sodass eine lokale Änderung der Einstellungen normalerweise keinen Einfluss darauf hat. Deshalb schaltet der Trojaner zusätzlich die Proxyeinstellungen im Browser aus. Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert und zum Download bereitgestellt.

Qhosts-1 ist ein Trojaner, dem die Fähigkeit fehlt, sich selbst zu verbreiten. Daher nutzt er die bekannte Lücke im Internet Explorer. Da im Moment kein Patch für diese Lücke verfügbar ist, hilft das Abschalten von Active Scripting und ActiveX -- allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff über diese Lücke zwar manchmal erkennen und unterbinden, dies ist jedoch kein sicherer Schutz, da die Exploits sehr stark variieren. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen, sofern sie den Internet Explorer benutzen. Bis zum Erscheinen eines funktionierenden Sicherheitsupdates sollten Anwender andere Browser wie Opera oder Mozilla einsetzen.

:confused:

Wieso bin ich jetzt froh, auf Firebird umgestiegen zu sein :(

</font><blockquote>Zitat:</font><hr />Original erstellt von LeoDD:
:confused:

Wieso bin ich jetzt froh, auf Firebird umgestiegen zu sein :( </font>[/QUOTE]wie sagt man doch so schön, *you get what you pay for, if you pay peanuts you get monkeys*

cheers Heiko

Klappe die zweite. Das hatten wir doch vor ein paar Jahren schon mal...

seit gestern weigert sich mein PC die "Google-Seite" (.de, .com, ..) und die "msn-suchseite" anzuzeigen. Das gilt sowohl füe den IE als auch für den Modzilla-Browser.
ich habe mir bereits von symantec das Trojan.Qhosts Removal Tool heruntergeladen, es hat aber nichts gefunden! bei mir wird die seite auch nicht, wie beschrieben, umgeleitet sondern einfach nicht geöffnet!
ich habe keine eintragungen im "hosts-ordner"
weiss jemand weiter?
viele grüße
Luigikater

hallo leute!

ich hab mich eben aus der not heraus hier angemeldet.

um es mir ein bisschen einfacher zu machen, habe ich folgenden text von mir, aus einem anderen board (speedcoreboard)kopiert.

>>>

suchmaschinenverbot oeder was?!?

so hätte ich den thread gestern noch genannt, wenn ich nicht noch der meinung gewesen wäre, das sich "das" schon wieder von alleine gibt.

anfangs, also vor 3-4 tagen oder so..., wurde ich immer schön von "google.de" auf "google.com" umgeleitet und da dachte ich noch "bekloppt oder was?". später kam dann schon die meldung :"Die Seite kann nicht angezeigt werden", da fing ich dann schon an etwas ins grübeln zu geraten.

gestern war ich bei einem kumpel im net und bei dem funzte google.de! "oh s´geht wieder, muss ich zu hause ma probieren"
-> aber es ging immer noch nicht am heimischen rechner....! häääää???????
und auch andere namenhaften suchmaschinen-seiten wie lycos, yahoo u.s.w. konnte ich nicht mehr aufrufen. (dabei aber meist´ alle anderen seiten ohne probleme)
-> häääääääääää??????????

also was macht man? jemanden fragen der sich da besser auskennt!
kein ding, nur geht icq irgentwie nich mehr so wie es eigentlich soll. keine connection mehr.......na so ein jammer....! also war ich mal clever und hab mich über "icq2go" angemeldet.
glücklicherweise war der zuverlässigste pc-spezie gerade online! (thx to fckn;)
resultat -> http://www.heise.de/newsticker/data/dab-02.10.03-000/
verdammt mich hats erwischt!!!! mein rechner ist mit dem trojaner qhosts //edit(oder doch nicht?)// verseucht!

das removal tool von symantec findet komischerweise nichts auf meiner platte. und zu allem überfluss steht auf jeder seite (wenn ich sie denn erreiche) etwas anderes über die umgangsweise mit dem (?) trojaner.

ich hab jetzt keinen durchblick mehr.........hilfe!!!!!
<<<

genau die gleichen symptome wie die eben genannten. ich weiss echt nicht mehr was ich machen soll. "qhosts" scheint es nicht zu sein, was aber dann??? was mach ich jetzt am besten???
was kann mir noch passieren?

danke im vorraus für jede hilfe!!!

steffen

Wie sieht denn Deine Hosts-Datei aus?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

öhm ...äh... wo find ich die hosts datei? und worauf soll ich achten?

ich hab da (noch) nicht so die ahnung hehe!
schande sei mit mir! *g*

[ 07. Oktober 2003, 19:59: Beitrag editiert von: cellar dweller ]

Das ist abhängig vom Betriebssystem. Manchmal heißt sie sogar anders.

Hier (Win98SE) heißt die "hosts" (ohne Endung!) und würde im Windows-Verzeichnis liegen, wenn ich eine Hosts-Datei hätte. Hab hier aber nur die Muster-Datei "hosts.sam".

Wir hatten das Thema "hosts-Datei" letztens schon einmal, und zwar hier. Da steht auch was zur Funktionsweise und zu verschiedenen Betriebssystemen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

habs gefunden, danke!

also im besagten ordner befinden sich 5 dateien:

-hosts
-Imhosts (eine audio datei) /EDIT/nö keine audio! die datei hat nämlich die endung .sam und die endung wird von einem audio-bearbeitungs prog. genutzt und ist dann nicht mehr als .sam sichbar! /EDIT/
-networks
-protocol
-services

(alle auch ohne datei endungen wie .sam)

[ 07. Oktober 2003, 21:29: Beitrag editiert von: cellar dweller ]

letzte änderung der dateien war am 08/2001. also kann sich da nix getan haben oder?

Öffne mal die Datei "hosts" mit einem Texteditor und schau mal nach, was da so drinsteht. Wenn da Einträge drinstehen, die Du Dir nicht erklären kannst -> löschen! Vorher aber die Originaldatei sichern!
Oder die Datei umbenennen (z.B. in hosts.sam) und schauen, ob dann die Probleme immer noch auftreten.

edit: Letzte Änderung bei allen Dateien? Komisch. Welches Betriebssystem hast Du denn überhaupt?
edit2: Sicherheit geht vor. :D

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

[ 07. Oktober 2003, 21:02: Beitrag editiert von: Yopie ]

ein paar zeilen microsoft geschwafel

und als letztes das : 127.0.0.1 localhost

ich habe windows xp home! und ja bei allen dateien!

Schau mal bei Network Associates. Dort sind die Symptome genau beschrieben, es gibt auch eine Anleitung zum manuellen Entfernen.
Ist auf Englisch, wenn das ein Problem ist melde Dich nochmal.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie