Hijacking (dt. Entführung) von Startseiten ist seit einigen Jahren ein weit verbreitetes Problem. Betroffene Anwender finden im Internet Explorer plötzlich eine fremde, ungewollte Startseite vor, die sich nicht mehr ändern lässt. Nach scheinbar erfolgreicher Umstellung kehrt sie wieder zurück. Ein weiteres Symptom des Hijacking ist, dass bestimmte Internetseiten nicht mehr, oder erst nach Passieren einer Werbeseite erreichbar sind. Alles zu den Hintergründen des Hijackings, und was man dagegen tun kann, lesen sie hier.
Was passiert beim Hijacking?
Hijacking ist eine moderne Form der Werbepiraterie. Betroffene sollen dadurch gezwungen werden, bestimmte Werbeseiten zu besuchen, bzw. diese regelmäßig als Startseite zu erhalten. In der verschärften Form führt die Umleitung sogar direkt zum Download kostenpflichtiger Dialer oder anderer gefährlicher Programme wie Trojaner und Spyware. Dass man Opfer einer solchen "Entführung" geworden ist, erkennt man an folgenden Symptomen:
Die Startseite im Internet Explorer ist plötzlich verändert.
Diese Veränderung der Startseite lässt sich nicht rückgängig machen.
Nach der Eingabe einer www-Adresse wird man auf eine ganz andere Seite umgeleitet.
In der Favoriten-Liste des Internet Explorers tauchen unbekannte, unerwünschte Adressen auf.
Die Schaltfläche "Suchen" im Internet Explorer liefert falsche Ergebnisse oder ist unbrauchbar.
Hijacking wird in den meisten Fällen erst dadurch möglich, dass Surfer in ihrem Internet Explorer die Sicherheitseinstellungen zu niedrig eingestellt haben. Die Täter nutzen nämlich so genannte Aktive Inhalte wie Java Script und ActiveX, um heimlich die Einstellungen des Internet Explorers zu manipulieren. Gerät ein Internetsurfer auf eine entsprechend präparierte Webseite, nehmen die aktiven Inhalte die Änderungen im Browser vor. Hinzu kommt, dass gleichzeitig mit der "Entführung" der Startseite auch ein Trojanisches Pferd auf dem PC installiert wird. Dieses sorgt dann dafür, dass die Manipulationen nicht wieder rückgängig gemacht werden können. Verbreitet werden Hijacker gelegentlich auch als Anhang von eMails.
Bekannte Zielseiten
Wie oben angeführt, wird die Startseite des Browsers beim Hijacking auf fremde Seiten entführt. Dies ist zugleich das deutlichste Anzeichen dafür, dass man Opfer einer solchen Attacke wurde. Zu den bekanntesten Zielseiten der "Entführer" gehören
real-yellow-page.com
list2004.com
linklist.cc
drxcount.biz
coolsearch.com
searchwww.com
tsearch.com
allneadsearch.com
t.rack.cc
about_blank: -...\sp.html
e-catalog.com
ssearch.biz
easy-search.biz
fastsearch.cc
Die betroffenen registry-Schlüssel
Beim Hijacking werden in der Regel eine ganze Reihe von Schlüsseln in der Registry manipuliert. Meist sind dabei folgende Schlüssel betroffen:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
Start Page=
Search Page=
Search Bar=
SearchURL=
Default_Page_URL=
Default_Search_URL=
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
CustomizeSearch=
SearchAssistant=
Diese Schlüssel lassen sich durch Eingabe von Start -> Ausführen -> regedit überprüfen und bearbeiten. Dabei sollte stets zuvor ein Backup gemacht werden, da falsche Veränderungen der Registry zu Datenverlust und sogar dem Zusammenbruch des gesamten PC-Systems führen können.
Entfernung und Problemlösung
Die Startseite ist verändert, die Suche nicht mehr möglich, bestimmte Webseiten überhaupt nicht mehr zu besuchen. Was ist nun zu tun? Eingriffe in die Registry ihres PCs sind selbst für versiertere Internetsurfer nicht ganz einfach - und nicht ganz ungefährlich. Hinzu kommt, dass in den meisten Fällen des Hijackings etliche Schlüssel betroffen sind, so dass eine vollständige Entfernung aller geänderter Einträge zum Glücksspiel wird. Glücklicherweise gibt es mittlerweile eine ganze Reihe hilfsreicher Programme, die einem die manuelle Suche ersparen und recht zuverlässig die Spuren einer erfolgreichen Eintführung beseitigen. Zu den Bekanntesten ihrer Art zählen
Ad-aware
Das Tool ist für Privatanwender kostenlos erhältlich und lässt sich Dank integrierter Update-Funktion stets auf dem neuesten Stand halten.
Spybot Search & Destroy
Auch dieses Programm ist kostenlos und hilft bei der Entfernung von Hijackern und anderen Schadprogrammen.
CWShredder
Sehr weit verbreitet ist die Entführung von Startseiten auf das Werbe-Netzwerk von CoolWebSearch. Speziell für Opfer dieses Hijackings wurde das kostenlose Programm CWShredder entwickelt.
Alle hier genannten Programme können Sie über die Seite Tools herunterladen.
Schutz vor Hijacking
Vorbeugung gegen Hijacking:
Nutzen Sie den Internet Explorer nur mit hohen Sicherheitseinstellungen.
Verwenden Sie nicht den Internet Explorer, sondern eine Alternative wie Opera oder Mozilla Firefox.
Halten Sie Ihren Internet Explorer regelmäßig auf den neuesten Stand.
Öffnen Sie niemals Anhänge in Emails von unbekannten Absendern. Deaktivieren Sie in Ihrem Mailprogramm die Autovorschau. Denn auch in Html-Mails können sich bereits gefährliche Scripts verbergen.
Surfen Sie nur mit einem aktuellen Virenscanner.
