Seit einigen Tagen sorgt ein lästiger und gefährlicher Computerschädling für Aufregung: der Trojaner QHosts-1 nutzt eine ungepatchte Sicherheitslücke im Internet Explorer und leitet den Browser auf falsche Webseiten um.

IE 5, 5.5 und 6.0

Sicherheitsexperten melden, dass bereits der Besuch einer manipulierten HTML-Seite ausreicht um sich mit dem Trojaner zu infizieren. Von dem Schädling sind alle User des Internet Explorer in den Versionen 5, 5.5 und 6.0 betroffen. Beim IE 6.0 können als erste Sicherheitsmaßnahme Active Scripting und ActiveX abgeschaltet werden, die älteren Versionen des Browsers sind nicht vor einer Attacke gefeit, da bislang kein Patch vorhanden ist.

So arbeitet der Schädling

Der Trojaner ersetzt auf befallenen Rechnern den Eintrag des DNS-Servers durch neue IP-Adressen und modifiziert so die Netzwerkeinstellungen zur Namensauflösung von Servern im Internet. "QHosts-1" generiert zusätzlich eine neue Hosts-Datei, um Anfragen an populäre Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten. Anwender wissen ab diesem Zeitpunkt beim Aufrufen des Browsers nicht mehr genau wohin der Browser den Surfer leitet.

Die Kontrolle über die Umleitung der Browser- und Netzwerkanfragen liegt nun bei der Person, die die Server kontrolliert; so sind auch Man-in-the-Middle-Attacken zum Mitlauschen von Verbindungen relativ einfach, auch wenn die Verbindungen für den Anwender mit SSL gesichert erscheinen. Der Trojaner schaltet zusätzlich auch die Proxyeinstellungen im Browser aus. Antiviren-Hersteller haben auf das Auftreten des neuen Schädlings bereits reagiert und ihre Signaturen aktualisiert und zum Download bereitgestellt.(red)