Coolwebsearch, das ist zum einen eine Web-Site, mit bezahlten Links, quasi eine Werbesuchmaschine, von denen es mittlerweile ja sehr viele gibt. Und zum anderen ist Coolwebsearch ein Browser-Hijacker, der Surfer auf die gleichnamige Site entführt - und auf andere Sites, zu denen Coolwebsearch verlinkt. Die Web-Site nun ist auf den britischen Virgin Islands registriert. Telefonisch ist niemand zu erreichen. Die Bitte um ein Interview wird ignoriert. Lediglich per Mail antwortet der Administrator – Dmitry nennt er sich – auf die Frage, welcher Zusammenhang denn zwischen Webauftritt und Schadprogramm gleichen Namens besteht:
Es gibt überhaupt keinen Zusammenhang. Wir haben derartige Software nicht geschrieben. Und werden es nie tun. Unser Geschäftsmodell beruht darauf, dass wir Suchanfragen kaufen, die uns Web-Master stark frequentierter Sites weiterleiten.
Damit impliziert er, dass auch Geschäftspartner der Coolwebsearch-Site ein finanzielles Interesse am Browser-Hijacking haben könnten. Und dann rät Dmitry Entführungsopfern noch, einen anderen Browser als den Internet-Explorer zu benutzen und keine Porno- und andere zwielichtige Sites zu besuchen, wo man sich Malware ja meistens einfängt. Eine Provision für weitergeleiteten Internetverkehr bietet er an. Und ein Smiley ist in der Mail. Mehrere Dutzend Varianten des Coolwebsearch-Hijackers sind bekannt. Die frühen hat man noch mit einem kostenlosen Werkzeug Namens Coolwebshredder entfernen können, das der niederländische Student Merijn Bellekom geschrieben hat. Jetzt aber hat er aufgegeben. Auch er mag nur per Mail antworten. Ihm wird nachgestellt. Sites, von denen man sein Tool herunterladen kann, waren des öfteren Ziel von Denial-of-Service-Attacken. Warum er das Handtuch geworfen hat, begründet er so:
Ich bin nicht mehr in der Lage, mit den Hijackern technisch Schritt zu halten. Anfangs waren die Schadprogramme noch sehr einfach zu entfernen. Aber die jüngsten Varianten sind kompliziert und hochentwickelt. Sie verhindern, dass man sie aus dem Arbeitsspeicher entfernt. Ich bräuchte ein Programm, mit dem man eine bestimmte Datei aus dem Memory löschen kann, ohne den Rechner neu zu starten. So etwas aber gibt es nicht.
Und deshalb stehen die Surfer jetzt ohne Softwareschutz gegen den am weitesten verbreiteten Browser-Hijacker da. Als der beim britischen The Register zugeschlagen hatte, da wusste man sich dort denn dort auch nicht anders zu helfen, als den infizierte Rechner platt zumachen und die Windows-Systemdatenbank neu aufzuspielen, wie die renommierte IT-Publikation berichtet. Den technischen Hintergrund für die rasante Ausbreitung des Browser-Hijacking bildet die Produktpolitik von Microsoft. Larry Leonard erläutert ihn. Im gehört die US-Firma DefintiveSolutions:
Das Problem ist, dass sie den Internet-Explorer für Drittentwickler geöffnet haben, die dadurch Zusatzfunktionen dafür schreiben können, sogenannte Browser Helper Objects. Teilweise sind es sehr schöne Programme die das nutzen wie Norton Anti-Virus und die Google-Toolbar. Aber es gibt auch Leute, die Viren und bösartige Browser Helper Objects schreiben. Das einzige, was wir machen können, ist, versuchen zurückzuschlagen.
Browser Helper Objects sind Zusatzprogramme, die automatisch mit dem Internet Explorer gestartet werden, in der Regel ohne dass der Anwender das merkt. Auch Coolwebsearch nutzt so ein Zusatzprogramm. Defintive Solutions hat eine kostenlose Software entwickelt, die die installierten Helper Objekts anzeigt. Aus Erfahrung weiß Larry Leonard, dass die meisten davon bösartig sind:
Wir sammeln noch Daten darüber. Aber derzeit übersteigt die Zahl der Schadprogramme jene der nützlichen wohl im Verhältnis 2:1. Es existieren so viele Hijacker und Parasiten. Ich denke, es gibt mehr bösartige als gute.
Browser-Hijacker liegen im Trend, einem Trend, den man seit geraumer Zeit bei Schadprogrammen beobachten kann. Es geht nicht mehr wie beim Hacken und der Verwüstung von Web-Sites um Vandalismus oder den quasi sportlichen Ehrgeiz von Scipt-Kiddies. Wie bei Spam, beim Phishing, dem Ausspionieren von Bankdaten, und bei Dialern, dreht es sich beim Hijacking um Geld. Und das lässt befürchten, dass den Surfern auf diesem Gebiet noch einiges bevorsteht.
Es gibt überhaupt keinen Zusammenhang. Wir haben derartige Software nicht geschrieben. Und werden es nie tun. Unser Geschäftsmodell beruht darauf, dass wir Suchanfragen kaufen, die uns Web-Master stark frequentierter Sites weiterleiten.
Damit impliziert er, dass auch Geschäftspartner der Coolwebsearch-Site ein finanzielles Interesse am Browser-Hijacking haben könnten. Und dann rät Dmitry Entführungsopfern noch, einen anderen Browser als den Internet-Explorer zu benutzen und keine Porno- und andere zwielichtige Sites zu besuchen, wo man sich Malware ja meistens einfängt. Eine Provision für weitergeleiteten Internetverkehr bietet er an. Und ein Smiley ist in der Mail. Mehrere Dutzend Varianten des Coolwebsearch-Hijackers sind bekannt. Die frühen hat man noch mit einem kostenlosen Werkzeug Namens Coolwebshredder entfernen können, das der niederländische Student Merijn Bellekom geschrieben hat. Jetzt aber hat er aufgegeben. Auch er mag nur per Mail antworten. Ihm wird nachgestellt. Sites, von denen man sein Tool herunterladen kann, waren des öfteren Ziel von Denial-of-Service-Attacken. Warum er das Handtuch geworfen hat, begründet er so:
Ich bin nicht mehr in der Lage, mit den Hijackern technisch Schritt zu halten. Anfangs waren die Schadprogramme noch sehr einfach zu entfernen. Aber die jüngsten Varianten sind kompliziert und hochentwickelt. Sie verhindern, dass man sie aus dem Arbeitsspeicher entfernt. Ich bräuchte ein Programm, mit dem man eine bestimmte Datei aus dem Memory löschen kann, ohne den Rechner neu zu starten. So etwas aber gibt es nicht.
Und deshalb stehen die Surfer jetzt ohne Softwareschutz gegen den am weitesten verbreiteten Browser-Hijacker da. Als der beim britischen The Register zugeschlagen hatte, da wusste man sich dort denn dort auch nicht anders zu helfen, als den infizierte Rechner platt zumachen und die Windows-Systemdatenbank neu aufzuspielen, wie die renommierte IT-Publikation berichtet. Den technischen Hintergrund für die rasante Ausbreitung des Browser-Hijacking bildet die Produktpolitik von Microsoft. Larry Leonard erläutert ihn. Im gehört die US-Firma DefintiveSolutions:
Das Problem ist, dass sie den Internet-Explorer für Drittentwickler geöffnet haben, die dadurch Zusatzfunktionen dafür schreiben können, sogenannte Browser Helper Objects. Teilweise sind es sehr schöne Programme die das nutzen wie Norton Anti-Virus und die Google-Toolbar. Aber es gibt auch Leute, die Viren und bösartige Browser Helper Objects schreiben. Das einzige, was wir machen können, ist, versuchen zurückzuschlagen.
Browser Helper Objects sind Zusatzprogramme, die automatisch mit dem Internet Explorer gestartet werden, in der Regel ohne dass der Anwender das merkt. Auch Coolwebsearch nutzt so ein Zusatzprogramm. Defintive Solutions hat eine kostenlose Software entwickelt, die die installierten Helper Objekts anzeigt. Aus Erfahrung weiß Larry Leonard, dass die meisten davon bösartig sind:
Wir sammeln noch Daten darüber. Aber derzeit übersteigt die Zahl der Schadprogramme jene der nützlichen wohl im Verhältnis 2:1. Es existieren so viele Hijacker und Parasiten. Ich denke, es gibt mehr bösartige als gute.
Browser-Hijacker liegen im Trend, einem Trend, den man seit geraumer Zeit bei Schadprogrammen beobachten kann. Es geht nicht mehr wie beim Hacken und der Verwüstung von Web-Sites um Vandalismus oder den quasi sportlichen Ehrgeiz von Scipt-Kiddies. Wie bei Spam, beim Phishing, dem Ausspionieren von Bankdaten, und bei Dialern, dreht es sich beim Hijacking um Geld. Und das lässt befürchten, dass den Surfern auf diesem Gebiet noch einiges bevorsteht.