Die DEUTSCHEN Trojaner-Seiten
Home
Trojaner installiert sich bei Besuch einer Webseite


Über MIME-Code ".mhtml"

Bisher galt stets: Nur durch Ausführen einer Datei seitens des Anwenders kann ein Trojaner auf das System des Anwenders gelangen. Hier mal abgesehen von den Worms, die sich über HTML-Mails installieren können.

Immer wieder tauchen Meldungen über Webseiten auf, wo dem ahnungslosen Anwender ein bzw. sogar mehrere Trojaner untergejubelt werden. Dabei merkt es der Besucher noch nicht einmal.

Der "Hacker" verschickt ungefragt E-Mails an User, die unter Angabe eines Themas (nicht selten Internet-Security Themen) einen Link beinhalten.

Klickt der Anwender auf diesen Link, wird eine Refresh-Seite geladen, die auf ein Frameset verweist. Dieses Frameset besteht aus Seiten des Formates ".mhtml" und enthaelt MIME-Code. Diese MIME-Code wird quasi decodiert und auf dem System als Trojaner installiert. MIME-Code wird häufig auch durch Mailprogramme verwenden, wenn Dateianhänge verschickt werden und besteht aus Zeichenkolonnen, die beim Empfang wieder in die entsprechende Datei (EXE, ZIP, JPG usw.) umgesetzt werden. Meisstens handelt es sich um die Trojaner "The Thing" oder "Asylum/WebAsylum". Diese winzigen Trojaner von nur ein paar Kilobyte Grösse dienen einzig und alleine dazu den Download eines weitaus mächtigeren Trojaners wie z.B. SubSeven, Donald Dick, Back Orifice oder welche Datei auch immer zu ermöglichen.

Theoretisch könnten über ".mhtml" auch gleich ein Trojaner wie SubSeven & Co. installiert werden. Doch würden viele User der langen Ladezeit des MIME-Codes sicherlich vorab abbrechen und die Infektion wäre nicht durch einen "Erfolg gekrönt".

Da es sich hier wie beschrieben um keine EXE-Datei handelt, die der Browser bei Besuch einer modifizierten Webseite lädt, fragt der Browser auch nicht entsprechend nach. Schliesslich wäre es ja auch ohne weiteres möglich gleich eine EXE-Datei zu laden, doch der Browser würde eine entsprechende Meldungen herausgeben. Über den Weg des MIME-Codes erkennt der Browser keinerlei Gefahr und führt alle Befehle "brav" aus.

Es gibt mehrere Variationen wie ein Infektion mittels einer modifizierten Webseite getätigt werden könnte (auch über den MIME-Code !). Der auf dieser Seite beschriebene Hergang soll lediglich als Beispiel dienen.

Über "fehlende" Browser-PlugIns

Auch diese Methode taucht immer wieder mal auf. Der Anwender besucht eine Webseite. Schon auf der Eingangsseite erscheint eine Meldung, dass z.B. das Flash-PlugIn oder der Vivo- Realplayer (kann durch den Autor der Webseite beliebig angegeben werden) fehlt oder nicht mehr aktuell sei. Über ein Scriptbasierendes Hinweisfenster wird dem Besucher es "leicht" gemacht, indem über einen definierten Link die entsprechende EXE gleich heruntergeladen werden kann. Danach braucht der Anwender diese Datei "nur" noch zu installieren, also starten. Nicht selten werden dem ahnungslosen Anwender sogar die echten Internetadressen der Vertriebsfirmen für das eigentliche PlugIn vorgegaukelt.

In Wirklichkeit wurde der Anwender getäuscht und installiert selber ein Trojanisches Pferd auf seinem System. Denn beachte: Ein Trojaner kann auch z.B. "realplayer.exe" heissen, da die Namen eines Trojaners beliebig umbenannt werden können.

Entgegen dem ersten beschriebenen Fall auf dieser Seite, muss hier der Anwender jedoch selber "Hand anlegen". Aber oft sind es gerade die einfachsten Dinge, wodurch selbst sogar fortgeschrittene Anwender immer wieder getäuscht werden könnten.


(tt) 07.09.2000