1577796

Malware installiert Browser-Erweiterungen

12.09.2012 | 16:23 Uhr |

Die Schädlingsfamilie W32/Medfos steht ab sofort auf Microsofts Abschussliste. Das "Tool zum Entfernen bösartiger Software" soll dagegen vorgehen. Medfos installiert Erweiterungen in Firefox und im Internet Explorer, um Suchanfragen umzuleiten.

Beim monatlichen Patch Day verteilt Microsoft regelmäßig auch seinen Schädlingsbekämpfer, das "Tool zum Entfernen bösartiger Software" , in einer neuen Version. Im September nimmt das bei Microsoft kurz "MSRT" (Malicious Software Removal Tool) genannte Programm die Schädlingsfamilie Win32/Medfos (auch als "Midhos" bekannt) ins Visier. Diese Trojanischen Pferde werden unter anderem über manipulierte Web-Seiten eingeschleust oder durch andere Malware installiert.

Im Blog des Microsoft Malware Protection Center erläutert Shawn Wang, wie Medfos Suchanfragen manipuliert, indem es Browser-Erweiterungen installiert. Beim Internet Explorer wird ein Modul in den laufenden Browser-Prozess im Speicher injiziert, sodass der Anwender nichts davon mitbekommt. Bei Firefox hingegen wird ein Add-on installiert, das einen möglichst unverdächtigen Namen trägt, zum Beispiel "Mozilla Safe Browsing 2.0.14" oder "Translate This! 2.0". Das soll die Wahrscheinlichkeit reduzieren, dass ein Opfer Verdacht schöpft und die Erweiterung entfernt oder deaktiviert.

Sendet ein Benutzer eine Suchanfrage an eine der unterstützten Suchmaschinen (AOL, Ask, Bing, Google, Yahoo), übermittelt die Erweiterung verdeckt die Suchbegriffe und die angefragte Suchmaschine an den Werbe-Server, den die Täter nutzen. Dieser sendet eine Web-Adresse zurück. Klickt der Benutzer auf eines der Suchergebnisse, wird er statt zur Originalseite zu der durch den Werbe-Server übermittelten Web-Seite umgeleitet.

Die Täter verdienen durch die Werbeumleitungen Geld. Um den Profit zu maximieren, werden zu den Suchbegriffen möglichst passende Werbeseiten angezeigt. Doch die Umleitung erfolgt nicht immer. Sind keine unerwarteten Umleitungen der Suchanfragen zu beobachten, heißt das noch lange nicht, dass der Rechner nicht infiziert wäre. Die Schädlinge der Medhos-Familie können außerdem weitere Malware aus dem Internet laden und installieren.

Die September-Version des MSRT (Version 4.12) wird beim automatischen Windows Update herunter geladen und einmal ausgeführt. Sie können sich auch eine beliebig oft startbare Fassung herunter laden.

0 Kommentare zu diesem Artikel
1577796