Die Firma Symantec (z.B. Norton AntiVirus) meldet einen neuen Trojaner, der sich in HTML-Seiten versteckt. "Offensive" ist hier bisher in zwei Varianten oder sagen wir besser Möglichkeiten aufgetreten.
- Der sehr destruktive Code wird bereits beim blossen Besuch der Webseite aktiv und sorgt dafür, dass der Anwender aller Wahrscheinlichkeit sein Windows-System neu installieren muß.
- Erst wenn der Besucher einen Button oder auch Link auf einer eigens dafür erstellen Webseite mit Mouseklick betätigt, wird die Schadensroutine ausgeführt.
Egal welche Methode nun zum Erfolg führte, jedenfalls verschwinden sämtliche Icons auf dem Desktop. Dazu können auch keine Anwendungen mehr ausgeführt werden. Windows kann nicht einmal mehr heruntergefahren werden und ein Start im abgesichertem Modus ist ebenfalls nicht mehr möglich.
Nur sehr erfahrende Anwender werden nun noch in der Lage sein, ihr System zu retten. Denn "Offensive" nimmt recht umfangreiche Änderungen in der Registy vor:
Key:
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer
Values:
RestrictRun NoChangeStartMenu NoClose NoDrives NoDriveTypeAutoRun NoFavoritesMenu NoFileMenu NoFind NoFolderOptions NoInternetIcon NoRecentDocsMenu NoLogOff NoRun NoSetActiveDesktop NoSetFolders NoSetTaskbar NoWindowsUpdate Nodesktop NoViewContextMenu NoNetHooD NoEntioeNetwork NoWorkgroupContents NoSaveSettings
Key:
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem
Values:
DisableRegistryTools NoConfigPage NoDevMgrPage NoDispAppearancePage NoDispScrSavPage NoDispBackgroundPage NoDispSettingsPage NoFileSysPage NoVirtMemPage
Key:
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesWinOldApp
Values:
NoRealMode Disabled
Keys:
HKEY_CURRENT_USERSoftwareMicrosoft InternetExplorerMainWindow Title HKEY_LOCAL_MACHINESoftwareMicrosoft Internet ExplorerMainWindow Title
Values:
Window Title Start Page
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinlogon
Values:
LegalNoticeCaption LegalNoticeText
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft Internet ExplorerExtensions {C18CB140-0BBB-11D4-8FE8-0088CC102438}
Values:
ButtonText CLSID DefaultVisible Exec MenuStatusBar MenuText
Key:
HKEY_CURRENT_USERSoftwareMicrosoft Internet ExplorerMenuExthow to * japanese
Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan
Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe HKEY_LOCAL_MACHINESoftwareCLASSES.reg HKEY_LOCAL_MACHINESoftwareCLASSES.htm HKEY_LOCAL_MACHINESoftwareCLASSES.html HKEY_LOCAL_MACHINESoftwareCLASSES.txt HKEY_LOCAL_MACHINESoftwareCLASSES.inf HKEY_LOCAL_MACHINESoftwareCLASSES.dll HKEY_LOCAL_MACHINESoftwareCLASSES.ini HKEY_LOCAL_MACHINESoftwareCLASSES.sys HKEY_LOCAL_MACHINESoftwareCLASSES.com HKEY_LOCAL_MACHINESoftwareCLASSES.bat
Value:
(default) is set to textfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
Value:
internat.exe ScanRegistry TaskMonitor SystemTray LoadPowerProfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunServices
Value:
LoadPowerProfile SchedulingAgent
In der Regel werden Links zu derartig preparierten Seiten Usern per E-Mail oder auch im Chat übermittelt. "Natürlich" unter einem anderen Vorwand, indem es dort interessante Dinge zu sehen gibt.
Nutzer der Browser Netscape, Mozilla und Opera sind von diesem Trojaner nicht betroffen, da diesen Anwendungen ActiveX nicht bekannt ist und daher nichts anhaben kann.
Für den Netscape Browser gibt es zwar auch ein ActiveX PlugIn, doch dürften dieses wohl die wenigsten Nutzer auch installiert haben. Falls doch, kann jedoch an dieser Stelle (noch) nicht gesagt werden, ob dann auch die Möglichkeit einer Infektion gegeben ist.
Nutzer des Browsers Internet Explorer können sich jedoch auch leicht vor diesem neuen Trojaner schützen, indem unter den Einstellungen ActiveX deaktiviert wird.
Einen Nutzen hat der Autor einer derartigen Webseite nicht, dahinter steht nur die pure Zerstörungslust.
