Trojanisches Pferd kapert Online-Werbung

Die Trojanische Pferde der QHosts-Familie sind seit Jahren bekannt. Ihr gemeinsames Merkmal ist die Manipulation der HOSTS-Datei von Windows, durch die sie Web-Aufrufe auf andere Web-Server umlenken. Der Antivirus-Anbieter Bitdefender meldet die Entdeckung einer neuen Variante namens "Trojan.Qhost.WU", die Textwerbung aus Googles Adsense-Programm kapert und umleitet.

Der Schädling nimmt zahlreiche neue Einträge in der HOSTS-Datei von Windows vor, die sich standardmäßig im Verzeichnis \Windows\System32\drivers\etc befindet. Die Datei speichert feste Zuordnungen zwischen Server-Namen und IP-Adressen (etwa "127.0.0.1 localhost"), nach denen sich Windows-Programme wie etwa ein Web-Browser richten. Damit können Anfragen an eine bestimmte Website auf einen ganz anderen Web-Server umgeleitet werden, der sich unter der Kontrolle der Angreifer befindet. Die Web-Adresse, die der Browser anzeigt (zum Beispiel www.pcwelt.de), bleibt jedoch die des echten Servers.

Auf diese Weise können Schädlinge auch einen Phishing-Angriff vorbereiten. Für den Anwender erscheint in der Adressenleiste des Browser die URL seiner Bank, während er jedoch tatsächlich auf einer Kopie der Bank-Website seine Daten eingibt, die dann an die Online-Kriminellen übermittelt werden.

Im vorliegenden Fall von Trojan.Qhost.WU werden jedoch Google-Adsense-Anzeigen gekapert und umgeleitet. Auf den besuchten Web-Seiten erscheinen für den Benutzer eines infizierten Rechners nicht mehr die Google-Anzeigen sondern andere Links. Bei Anklicken dieser Links könnte schädlicher Code ausgeführt werden oder die Links führen auf Server, die ihrerseits versuchen Malware einzuschleusen.

Der Schädling richtet ansonsten keine weiteren Schäden auf dem PC an, sollte jedoch trotzdem umgehend entfernt werden. Als Vorsichtsmaßnahme können Sie eine Kopie Ihrer HOSTS-Datei anlegen, mit der Sie gegebenenfalls nach Entfernung eines solchen Schädlings die manipulierte Version überschreiben.