| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Browser HiJacking a la 'start.htm' und 'start.chm'Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.04.2004, 19:34
| #1 |
  |  Browser HiJacking a la 'start.htm' und 'start.chm' Hallo, ob es an den christlichen Feiertagen liegt?  (Weihnachten war es das Browser-Hijacking zu ntsearch.com - jetzt zu Ostern sind es Hacks nach dem Muster </font><blockquote>Zitat:</font><hr />R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html </font>[/QUOTE]Das Problem ist wohl (wieder einmal!) eine ungepatchte Lücke im Internet-Explorer. </font><blockquote>Zitat:</font><hr />A cross-domain scripting vulnerability in Microsoft Internet Explorer (IE) could allow an attacker to execute arbitrary code with the privileges of the user running IE. The attacker could also read and manipulate data on web sites in other domains or zones.</font>[/QUOTE]Quelle: http://www.us-cert.gov/cas/techalerts/TA04-099A.html Dort findet sich auch eine ausführliche Beschreibung. Eine entgültige Lösung dieses Problems gibt es wohl erst dann, wenn sich MS dazu 'herablässt' die Lücke zu schließen... Als Workaround bietet US-CERT folgendes an: </font><blockquote>Zitat:</font><hr /> Disabling ITS protocol handlers appears to prevent exploitation of this vulnerability. Delete or rename the following registry keys: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its,ms-itss,its,mk} Disabling these protocol handlers will significantly reduce the functionality of the Windows Help system and may have other unintended consequences. Plan to undo these changes after patches have been tested and installed.</font>[/QUOTE]Diesen Eingriff in die Registry würde ich aber nur erfahrenen Usern empfehlen. Und dies auch erst nach einer Sicherung der Registry. Es bleibt dem betroffenen User im Moment imho nur das Ausweichen auf einen 'sichereren' Browser wie beispielsweise Mozilla -> http://www.mozilla.kairo.at/ Firefox -> http://www.mozilla.org/products/fire...eases/0.8.html Opera -> http://www.opera7.de/ Gruß, Lutz [ 20. April 2004, 20:19: Beitrag editiert von: Lutz (DerBilk) ]
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
| Themen zu Browser HiJacking a la 'start.htm' und 'start.chm' |
| bietet, browser-hijacking, c:\windows, code, data, explorer, feiertage, folge, folgendes, help, internet, internet explorer, lücke, lösung, microsoft, ostern, problem, registry, sites, software, start, system, this, usern, web, weihnachten, windows, workaround |
Baum-Darstellung