![[HaBo]](/styles/default/logoklein.png){kind=small}
R
Rushjo
Guest
Wie das Security-News-Portal in seiner neuen
Ausgabe berichtet, wurde vorgestern in Australien eine Trojaner namens "QHOST"
gefunden, der User unter Ausnutzung einer Sicherheitslücke im IE nur durch reines
Betrachten einer Website infiziert. Danach ändert er die DNS-Server-Einträge und
leitet damit alle "Suchmaschinen-Anfragen" an eine bestimmte Domain um. Dabei
ging man anfangs von aus, das es sich um einen Angriff auf VeriSign handeln könnte,
obwohl das ganze eher den Eindruck macht, als wenn hier Jemand lediglich das
"Buisness-Modell" von VeriSign nur kopiert und damit eine Suchmaschine "pushen"
will.
Tja, da verschwimmen die Grenzen zwischen Spam, Trojaner und "gekauften Links"
immer mehr! X(
[1] Quelle (english)
MfG Rushjo
Nachtrag zu Trojaner:
Wie wir aus aktueller Quelle zusätzlich noch berichten können, gibt es auch in
Deutschland erste ähnliche Versionen. So tauchte ein Trojaner auf ( <-- bisher
noch ohne Namen, aber wir nennen ihn mal pPp_M)
und legt nach der
Infektion des Rechner über den Bug des IE eine Datei namens "hosts" ohne
Dateityp-Bezeichung in Verzeichnis %windir%\help an und ändert danach die
Registry-Einträge unter "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\
Tcpip\Parameters "DataBasePath"" so, das alle Anfragen an Suchmaschinen an
eine bestimmte IP umgeleitet werden. Hier mal ein Auszug der Datei "hosts":
Ausserdem legt er noch eine Datei namens %WinDir%\winlog (wieder ohne
Endung), in dieser steht lediglich "A" drin.
Mal ein paar Informationen zu IP, die der Trojaner dann ansteuert.
Der Rechner mit der IP ist zwar pingbar, aber anscheint kein Webserver, sodass es
sich auch um ein dDoS handeln könnte. Weitere Erkenntnisse zum Trojaner muss
man erstmal abwarten.
Ausgabe berichtet, wurde vorgestern in Australien eine Trojaner namens "QHOST"
gefunden, der User unter Ausnutzung einer Sicherheitslücke im IE nur durch reines
Betrachten einer Website infiziert. Danach ändert er die DNS-Server-Einträge und
leitet damit alle "Suchmaschinen-Anfragen" an eine bestimmte Domain um. Dabei
ging man anfangs von aus, das es sich um einen Angriff auf VeriSign handeln könnte,
obwohl das ganze eher den Eindruck macht, als wenn hier Jemand lediglich das
"Buisness-Modell" von VeriSign nur kopiert und damit eine Suchmaschine "pushen"
will.
Tja, da verschwimmen die Grenzen zwischen Spam, Trojaner und "gekauften Links"
immer mehr! X(
[1] Quelle (english)
MfG Rushjo
Nachtrag zu Trojaner:
Wie wir aus aktueller Quelle zusätzlich noch berichten können, gibt es auch in
Deutschland erste ähnliche Versionen. So tauchte ein Trojaner auf ( <-- bisher
noch ohne Namen, aber wir nennen ihn mal pPp_M)
und legt nach der Infektion des Rechner über den Bug des IE eine Datei namens "hosts" ohne
Dateityp-Bezeichung in Verzeichnis %windir%\help an und ändert danach die
Registry-Einträge unter "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\
Tcpip\Parameters "DataBasePath"" so, das alle Anfragen an Suchmaschinen an
eine bestimmte IP umgeleitet werden. Hier mal ein Auszug der Datei "hosts":
Ausserdem legt er noch eine Datei namens %WinDir%\winlog (wieder ohne
Endung), in dieser steht lediglich "A" drin.
Mal ein paar Informationen zu IP, die der Trojaner dann ansteuert.
Der Rechner mit der IP ist zwar pingbar, aber anscheint kein Webserver, sodass es
sich auch um ein dDoS handeln könnte. Weitere Erkenntnisse zum Trojaner muss
man erstmal abwarten.
