Viren, Spyware, Datenschutz 11.212 Themen, 94.144 Beiträge

News: News und erste Hilfe

Malware-Attacke auf Chrome-Nutzer

Michael Nickles / 11 Antworten / Flachansicht Nickles

Googles Browser Chrome hat im März ordentlich zugelegt und befindet sich jetzt mit 6,13 Prozent Marktanteil auf Platz 3 der Browser-Bestenliste. Diese "handvoll" Prozent scheint der Internet-Mafia auszureichen, um jetzt auch Chrome-Nutzer mit Malware zu attackieren.

Aktuell versuchen die Kriminellen über Chrome den Trojaner Agent.20577 einzuschleusen. Das passiert nicht direkt über den Browser selbst, sondern mit einer billigen Masche. Chrome-Nutzer kriegen einfach eine Email, in der ihnen die Installation einer neuen Erweiterung von Chrome empfohlen wird.

Der Link in der Mail führt dann zu einer Webseite, die Googles offizieller Seite mit Chrome-Erweiterungen täuschend echt nachempfunden ist. Wer drauf reinfällt hat immerhin Glück im Unglück. So weit bekannt ist der Trojaner Agent 20577 kein Daten-Killer.

Er verändert "nur" die Hosts-Datei von Windows dahingehend, dass Seiten von Google und Yahoo nicht mehr abrufbar sind, man automatisch auf eine andere Webseite weitergeleitet wird.

Michael Nickles meint: Wenn sich Webseiten nicht mehr aufrufen lassen oder eine merkwürdige Weiterleitung stattfindet, dann liegt das meist an einem Trojaner, der die Windows-Hosts-Datei versaut hat.

Das ist im Prinzip eigentlich nur eine simple lokale Textdatei in der drinnen steht, welche Netzwerkbezeichnungen oder "Webseiten" welchen IP-Adressen zugeteilt sind. Normalerweise steht da heute eigentlich nur noch 127.0.0.1 localhost drinnen - also quasi die "Heim-Adresse" des eigenen Rechners.

Bei Windows 95/98/Me befand sich die Host-Datei mit Bezeichnung "hosts" (hat keine Dateieendung!) noch direkt im Windows-Verzeichnis. Seit Windows NT/XP bis hin zum aktuellen Windows 7 befindet sie sich hier:

Windows-Verzeichnis\system32\drivers\etc\

In diesem Unterverzeichnis findet sie sich wiederum als Datei "hosts" ohne Dateierweiterung.

Im Fall eines "Trojanerverdachts" reicht eine Überprüfung der Datei in ihrem typischen Standardverzeichnis leider nicht aus, denn es gibt eine Tücke! Im Prinzip kann sich die Host-Datei, die Windows wirklich verwendet, auch in einem beliebigen anderen Verzeichnis befinden. Dieses Verzeichnis wird hier in der Registry eingestellt:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath

Trojaner vergreifen sich meist auch an diesem Registry-Eintrag um Jäger auf die falsche Spur zu führen.

bei Antwort benachrichtigen