Zweckentfremdet

Legitimes Schutzprogramm erledigt Schmutzarbeit

Dienstag den 08.03.2011 um 15:55 Uhr

von Frank Ziemann

Statt einen Schädling selbst zu programmieren, haben die Täter in einem kürzlich entdeckten Fall ein Browser-Schutzprogramm so umkonfiguriert, dass sie es für ihre dunklen Zwecke nutzen können.
KingSoft WebShield zweckentfremdet
Vergrößern KingSoft WebShield zweckentfremdet
© 2014

Das Schutzpaket KingSoft Internet Security des chinesischen Herstellers Zhuhai KingSoft Software enthält eine Komponente namens WebShield, die Anwender vor dem Besuch potenziell schädlicher Seiten warnen soll. Doch offenbar gibt es auch andere Möglichkeiten die Software zu nutzen, auch für illegitime Zwecke.

Wie Poul Jensen im Symantec Security Response Blog berichtet, sind die Malware-Spezialisten von Symantec auf ein Software-Paket gestoßen, dessen Binärdateien aus dem Browser-Schutz von KingSoft stammen. Sie wurden mit dem Tool AutoIt zu einem neuen Paket geschnürt, das es den Tätern ermöglicht den Browser zu manipulieren. Die Dateien sind intakt und vom Originalhersteller digital signiert.

Der KingSoft WebShield kann die Startseite des Browser festlegen, sodass sie nicht geändert werden kann und den Aufruf von Web-Adressen umleiten. Die Konfiguration erfolgt in der nicht mehr aktuellen Version, die hier genutzt wird, über einfache Textdateien (INI-Dateien). Die Täter haben eigene INI-Dateien in das Paket gesteckt, die eine andere Startseite für den Internet Explorer (IE) festlegen und Aufrufe in China populärer Websites auf Werbeseiten umleiten. Darunter sind auch Websites, die Rat bei PC-Problemen bieten.

Die mit AutoIt erstellte Installationsroutine kopiert die enthaltenen Dateien an ihren Platz und richtet den WebShield-Dienst ein. Außerdem entfernt sie alle Symbole, bis auf das für den Internet Explorer, aus der Schnellstartleiste. Enthält diese keine IE-Verknüpfung, wird eine solche angelegt. So soll sicher gestellt werden, dass der Anwender mit dem nunmehr manipulierten Internet Explorer ins Internet geht.

Der WebShield funktioniert ansonsten ganz normal, es fehlt jedoch ein Deinstallationsprogramm. Betroffene Anwender werden wohl, wenn ihnen etwas merkwürdig erscheint, zunächst nicht den WebShield verdächtigen.

Dienstag den 08.03.2011 um 15:55 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
805500