Troj/QHosts-1, Delude

Bei diesem Schädling handelt es sich nicht um einen Wurm oder Virus, da er sich nicht von selber verbreitet. Wer aber nicht ganz vertrauenswürdige Webseiten mit dem Microsoft Internet Explorer besucht oder entsprechend gestaltete HTML-E-Mails per Outlook oder Outlook Express öffnet, könnte sich Delude einfangen.

Delude alias QHosts missbraucht eine Sicherheitslücke des Internet Explorers. Für diesen wurde zwar von Microsoft bereits ein entsprechender Patch veröffentlicht [1], welcher aber in diesem konkreten Fall nichts nützt. Erst der abermals korrigierte Patch [2] soll nun endlich Abhilfe schaffen und den Trojaner am Eindringen ins System hindern. Der Patch wird übrigens auch via Windows-Update installiert.

Öffnet der Benutzer eine Delude-haltige Webseite, wird im Windows-Systemordner (z.B. C:\Windows\System\) eine Datei namens AOLFIX.EXE abgelegt und gestartet. Diese wiederum erstellt einen versteckten Ordner namens "C:\bdtmp\tmp" und darin eine Batch-Datei mit dem Namen einer drei bis vierstelligen Zahl und der Endung .BAT (z.B. 5404.bat). Diese Batch-Datei wird ausgeführt. Sie erstellt im Windows-Ordner drei Dateien: o.reg, o2.reg, o.vbs

Die Dateien o.reg und o2.reg werden anschliessend in die Registry importiert und verändern somit die Windows-Registry wie folgt:

In diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\MSTCP

Werden diese Einträge erstellt:

EnableDNS="1"

NameServer=(eine IP-Adresse)

HostName="host"

Domain="mydomain.com"

Dieser Eintrag bewirkt, dass zum Beispiel bei einer Internetverbindung nicht mehr der Namensserver des Providers verwendet wird, sondern jener des Trojaner-Schreibers. Und das kann fatale Folgen haben: So könnte es dem Trojaner-Schreiber einfallen, in diesem Namensserver festzulegen, dass eine Seite wie www.microsoft.com nicht mehr auf die richtige IP-Adresse von Microsoft gelenkt wird, sondern auf jene eines Crackers oder Dialer-Anbieters.

In diesem Registry-Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Werden diese Einträge gesetzt:

ProxyEnable="0"

MigrateProxy="0"

Und in diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Setzt der Trojaner diese Einträge:

Use Search Asst="no"

Search Page="http://www.google.com"

Search Bar="http://www.google.com/ie"

Dann in diesem Registry-Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL

verändert er diese Einstellungen:

"(leer)"="http://www.google.com/keyword/%%s"

provider="gogl"

In diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

Setzt er diese Einstellungen:

SearchAssistant="http://www.google.com/ie"

Und in diese beiden Registry-Zweigen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Tcpip\Parameters\interfaces\windows

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Tcpip\Parameters\interfaces\windows

Platziert er diesen Eintrag:

r0x="your s0x"

Der Qhosts-Trojaner erstellt auch noch einen Eintrag in diesem Zweig:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Und zwar diesen:

DataBasePath=(Windows-Ordner)\help

Dies bewirkt, dass Windows die Hosts-Datei nicht mehr im ursprünglichen Ordner sucht, sondern in einem Ordner wie C:\Windows\Help.

Ausserdem trägt die Batchdatei die Adressen mehrerer Web-Suchmaschinen mit einer falschen IP-Adresse in die Windows Hosts-Datei ein, damit der Benutzer beim Eingeben jener URLs ebenfalls auf unerwünschten Webseiten landet. Anschliessend löscht der Trojaner die Batchdatei.

Um den Trojaner bzw. seine unerwünschten Nebenwirkungen loszuwerden, müssen Sie die Hosts-Datei im Editor öffnen und dort alle Zeilen löschen, welche die Einträge von Suchmaschinen enthalten. Bei den meisten Benutzern ist die Hosts-Datei sowieso leer, bis auf Beispiel-Einträge, die aber durch das "#"-Zeichen als Kommentar markiert sind. Die Datei namens hosts hat keine Endung und befindet sich in einem dieser Ordner:

Bei Windows 9x: C:\Windows\ oder

Bei Windows XP: C:\Windows\system32\drivers\etc\ oder

Bei Windows NT/2000: C:\Winnt\system32\drivers\etc\

Oder aufgrund der Registry-Änderung:

C:\Winnt\help\ oder

C:\Windows\help\

Anschliessend ist etwas Registry-Gebastel notwendig, um die oben erwähnten Einträge wiederherzustellen. Aktualisieren Sie Ihren Virenscanner, stellen Sie ihn so ein, damit er alle Dateien scannt und lassen Sie jene Dateien löschen, die er als infiziert mit QHosts bzw. Delude erkennt.

Informationen über den Trojaner finden Sie auch bei F-Secure [3], Network Associates [4] und Symantec [5]. Letztere haben auch ein Reparatur-Programm bereitgestellt, welches die Folgen des Trojaners rückgängig machen soll.