symlink.ch | MSIE-Virus läßt Windows-DNS umbauen

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

MSIE-Virus läßt Windows-DNS umbauen

Veröffentlicht durch XTaran am Donnerstag 02. Oktober, 11:23
Aus der Immer-mal-wieder-was-neues Abteilung

Die aktuelle und noch nicht patchbare Sicherheitslücke im MSIE wird recht nett ausgenützt: Ein Virus namens Qhosts, der in Webseiten lebt, baut des Windows' DNS-Einstellungen um und legt eine neue C:\WINDOWS\HOSTS.TXT-Datei an, um bekannte Suchmaschinen wie Google, Lycos, Altavista und Yahoo! umzubiegen. Außerdem schaltet er sämtliche Proxies ab, damit wirklich der lokale Host für das DNS zustándig ist und nicht der Proxy. (Quellen: Heise Security, Golem.de)

Das hat zur Folge, daß die Betreiber der frisch eingestellten DNS-Server kontrolliert, u.a. welche Hostnamen wohin zeigen und kann damit bestimmen, was die Leute zu sehen bekommen und was nicht. Das gilt laut HeiSec auch für HTTPS (!). Betroffen sind alle MSIEs, einen lokalen Workaround (ActiveX abschalten) gibt es nur für MSIE 6, denn bei früheren Versionen soll auch das nicht helfen. Helfen dagegen tut eine Firewall, die keine außer den vorgesehenen Name-Servern zuläßt und DNS-Anfragen ins Internet unterbindet.

HeiSec empfiehlt entweder (temporär) auf Mozilla oder Opera umzusteigen oder den c't IEController zu installieren, der dem IE auf die Finger haut, wenn er Böses zu gedenken tut.

< SCO greift jetzt auch SGI an | Druckausgabe | Meeting der PHP Usergroup Schweiz >

symlink.ch Login

extrahierte Links

Heise

c't IEController

Heise Security

Golem.de

Mehr zu Security

Auch von XTaran

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

mailinglisten (Score:1)

Von Seuli (Seuli(at)bsdunix(dot)ch) am Thursday 02. October, 11:50 MET (#1)
(User #146 Info)

auch in der Full Disclosure Mailingliste und im NTbugtraq von securityfocus zu finden

Seuli
-- O'Toole said: Murphy was an optimist.

hosts oder hosts.txt (Score:3, Informativ)

Von NoSuchGuy am Thursday 02. October, 12:22 MET (#2)
(User #97 Info)

Ich glaube die Datei heißt "hosts" und nicht "hosts.txt"

Gut das so direkt aufgefordert wird einen anderen Browser zu verwendn und nicht "...Javascript abschalten, ActiveX deaktivieren, nur vertrauenswürdige Sites besuchen..." angeboten wird.

NSG
--
The only nice thing about spam is that it doesn't ring.

Re:hosts oder hosts.txt (Score:2, Informativ)

Von Seegras am Thursday 02. October, 12:28 MET (#3)
(User #30 Info) http://www.discordia.ch

Die heisst schon hosts, aber nur unter Unix. Weil Windows aber so doof ist Dateitypen anhand der Endung zu kennzeichnen heisst das Ding unter Windows folgerichtig hosts.txt.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

Re: hosts oder hosts.txt (Score:1)

Von XTaran (symlink /at/ deux chevaux /dot/ org) am Thursday 02. October, 12:33 MET (#5)
(User #129 Info) http://abe.home.pages.de/

Ebend. Daran meinte ich mich auch zu erinnern.

--
There is no place like $HOME

Re:hosts oder hosts.txt (Score:2)

Von bones am Thursday 02. October, 12:37 MET (#6)
(User #481 Info) http://www.p-guhl.ch

Bei meinem Win2000 heisst es HOSTS - ohne Endung. Natürlich muss nicht jede Windows-Version das gleich machen. Ein hosts.txt gibt es aber auch bei Win98 nicht (das vorliegende hat allerdings auch kein hosts, nur ein hosts.sam).

Grüsse vom Knochen

Re:hosts oder hosts.txt (Score:1, Informativ)

Von Anonymer Feigling am Thursday 02. October, 12:44 MET (#7)

unter XP heissts auch hosts ohne .txt

Re:hosts oder hosts.txt (Score:1)

Von stinger (symlink.ch@plenet.org) am Thursday 02. October, 18:31 MET (#11)
(User #256 Info) http://www.plenet.org/

hosts.sam steht für "sample". Windows benutzt die hosts, wenn sie existiert. Ohne Endung! Nimm von der hosts.sam doch einfach die Endung weg, und trag mal was ein. Damit kannst dus ausprobieren.

Re:hosts oder hosts.txt (Score:2)

Von bones am Thursday 02. October, 12:30 MET (#4)
(User #481 Info) http://www.p-guhl.ch

Ja, das Ding heisst hosts. Ob es wohl ein Schreibschutz auf dem File etwas nützt?

Nun, für mich wird es auf jeden Fall Zeit, einen internen DNS einzurichten.

Grüsse vom Knochen

Re:hosts oder hosts.txt (Score:0)

Von Anonymer Feigling am Thursday 02. October, 14:49 MET (#8)

Stimmt schon, auch unter Windows (alle Versionen, die ich kenne, incl. 3.1) hiess sie hosts, ohne jede Extension.

Re:hosts oder hosts.txt (Score:2, Informativ)

Von boomi am Thursday 02. October, 19:33 MET (#12)
(User #1126 Info)

> Ich glaube die Datei heißt "hosts" und nicht "hosts.txt"

Beides geht, Windows ist schliesslich das Ambiguous Operating System(TM)

Re:hosts oder hosts.txt (Score:2)

Von bones am Friday 03. October, 10:20 MET (#13)
(User #481 Info) http://www.p-guhl.ch

Autsch! :-( Und was nimmt es, wenn beides da ist? Soll man da jetzt alles von hosts bis hosts.zzz als schreibgeschützte Files erstellen?

Grüsse vom Knochen

Wärs ned an der Zeit... (Score:2, Lustig)

Von kruemelmonster (symlink0311.5.kruemi@spamgourmet.com) am Thursday 02. October, 14:59 MET (#9)
(User #3 Info) http://www.tedaldi.net/

Den Leuten auf diese Art nen Opers, Mozilla oder Firebird kostenlos und unverbindlich zu installieren? .-)

Welche webseiten? (Score:1)

Von Monty23 (mauchle.andwil@bluewin.ch) am Thursday 02. October, 18:01 MET (#10)
(User #998 Info)

weiss jemand auf welchen webseiten der virus aktiv ist?

legal, ilegal, scheissegal!

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.