Tipps & Tricks 20.01.2009, 19:39 Uhr

Windows-Update-Umleitung auf www.msn.com

Problem: Gestern wollte ich Windows-Update starten, allerdings werde ich dabei immer auf «http://www.msn.com» umgeleitet. An der Updateseite von Microsoft kann es nicht liegen, denn auf einem zweiten PC funktioniert es bestens. Was könnte da los sein?
Lösung: Das könnte ein deutlicher Hinweis auf Schädlingsbefall sein. Beim Aufruf einer Webadresse wie z.B. «http://windowsupdate.microsoft.com» muss Windows wissen, welche IP-Adresse diesem Domainnamen entspricht. Hierzu sucht Windows an verschiedenen Orten; hauptsächlich in der Hosts-Datei sowie via DNS-Server, der normalerweise beim eigenen Internetprovider steht.
Hier in groben Zügen, wie das funktioniert:
Hosts-Datei: Zuerst schaut sich Windows eine auf der eigenen Festplatte gespeicherte Datei an, nämlich: C:\Windows\System32\Drivers\etc\hosts (ohne Datei-Endung). Standardmässig enthält die Datei einige mit dem #-Zeichen versehene Kommentarzeilen und nur einen einzigen Eintrag: 127.0.0.1 localhost
Würden Sie dort eine Zeile mit der IP-Adresse der PCtipp-Seite eintragen und dahinter «www.microsoft.com», würde Windows Sie beim Aufruf von www.microsoft.com künftig zur PCtipp-Webseite führen, statt zu Microsoft. Es gibt Schädlinge, die sich die Hostsdatei auf genau diese Weise zunutze machen. Die Würmer oder Trojaner tragen dort unzählige Sicherheitswebseiten ein, z.B. von Antivirusherstellern, Sicherheits-Webforen und auch sehr gerne jene von Microsoft oder Windows-Update. Die Domains werden dann entweder auf 127.0.0.1 umgeleitet (das ist immer Ihr PC und führt ins Leere), auf andere, harmlose IP-Adressen (z.B. jene von MSN) oder auf IP-Adressen, die den Angreifern selbst gehören.
Es gibt auch Sicherheitsprogramme, die Einträge in die Hosts-Datei machen, um z.B. aggressive Werbebanner-Server auszufiltern.
DNS-Server: Normalerweise ist die oben erwähnte Hosts-Datei quasi leer. Darum funktionieren die meisten Webseitenaufrufe etwa so: Beim Einloggen beim Internetprovider bekommt der PC oder der Router eine eigene IP-Adresse zugeteilt. Ausserdem erfährt der PC bzw. Router, unter welcher IP-Adresse der Domänennamen-Server (DNS) des Providers erreichbar ist. Wenn der Benutzer nun im Browser eine Webadresse eingibt (z.B. www.example.com), dann kontaktiert der PC den besagten DNS, erfährt dort die zur eingegebenen Domain gehörende IP-Adresse und zeigt die Webseite an. Das geschieht in Sekundenbruchteilen. Auch das kann missbraucht werden.
Es gibt Trojaner, die in den Netzwerkeinstellungen einen falschen DNS eintragen. Das ist dann für gewöhnlich ein durch die Cybermafia manipulierter Server, der irgendwo in der Welt steht. Beim Aufruf einer Webseite liefert jener Server absichtlich eine falsche IP-Adresse zurück. Daraufhin landet der Benutzer auf einer falschen Webseite.
Wenn also andere Webseiten erscheinen, als jene, die Sie erwartet haben, ist eine ausführliche Schädlingsprüfung des PCs fällig. Lesen Sie hierzu auch diesen Thread im PCtipp-Forum.



Kommentare
Es sind keine Kommentare vorhanden.