Das ist zwar meine reine persönliche Meinung, aber das unbeabsichtigte Aufsammeln von digitalem Ungeziefer scheint mir immer wieder an der gleichen Stelle zu passieren. Die Windows-Benutzer, die es bisher noch nicht gemacht haben, sollten ihre Datenausführungsverhinderung in der Systemsteuerung aktivieren, um zumindest einen gewissen Teil von Exploits aus dem Wege zu gehen, sollte man ihm zufällig begegnen. Vielleicht denkt der werte Leser nun an dieser Stelle: Ich surfe nicht auf unanständigen Seiten. Gut, aber dennoch fängt sich die Benutzergemeinde viele dieser Tierchen an Stellen ein, die nicht sonderlich viel Haut zeigen.

Jetzt ist ein gutes Anti-Viren Programm schon mal ein praktikabler Schutz. Eine Firewall wird bei einem Befall von Schadsoftware wenig helfen. Schließlich klickt der Benutzer seine Seite ja an, sie läuft ihm ja nicht zu. Hier und da werden allerdings dennoch durch eine Firewall Programme daran gehindert einfach mal so mit der Außenwelt zu kommunizieren. Teils lässt auch das sich umgehen, aber meist würde das zumindest ein wenig gemeldet werden, je nach Produkt. Falls der Benutzer weiß, was seine Firewall von ihm jetzt möchte, so kann er recht zuverlässig erkennen, ob ein seltsames Programm gerade eine Verbindung aufbauen möchte oder nicht.

Aber die Hersteller von Schadsoftware schlafen nicht und werden auch erstaunlich schnell besser. Die Produkte haben eine bemerkenswerte Qualität, zumindest einige. Und diese haften sich an den jeweiligen Browser und zack, kommunizieren sie unbemerkt nach draußen. Ja, das ist alt. Aber es klappt recht gut und bringt mich an dieser Stelle auf einen kleinen Aspekt, den man sich als Computerbenutzer zumindest mal durch den Kopf gehen lassen sollte. Schadprogramme können über BHOs entsprechend zu anderen System kommunizieren, sollten sie welche in das System nach der Infektion einbauen. Weiter lässt sich ein System oft über einen Browserexploit infizieren, welches letztendlich ein BHO eines Drittherstellers ist. Und irgendwie passiert das diesem Hersteller ständig.

BHOs sind Browser Helper Objects (BHO). Das sind Programme, die entsprechend Funktionen des Internet Explorers erweitern. Aber der Version 4.0 des Internet Explorers gibt es solche BHOs. Diese haben direkten Zugriff auf das Document Object Model (DOM). Daher können sie sehen, was gerade im Browser so vor sich geht. Für Spionageprogramme, die schauen wollen, was der Benutzer im Internet so macht, ein guter Platz. Auch Kennwörter und URLs lassen sich über ein BHO abfangen und versenden. Der Zugang zum Browser wird einem BHO nicht eingeschränkt, es kann tun und lassen was er möchte. Der Internet Explorer ist hierbei nicht unsicherer, als der Rest der Browser. Microsoft steckt viel Kraft in dieses Projekt, um es laufend zu verbessern. Allerdings benutzt ihn auch fast jeder Otto-Normal-Benutzer, der Verbreitungsgrad ist auf jeden Fall sehr hoch. Hoch genug, um speziell für dieses Produkt Exploits zu schreiben. Für Firefox und Opera gibt es ähnliches, funktioniert auch sehr zuverlässig. Damit Patchen alle um die Wette.

Aber wir waren bei den BHOs. Zumindest mir fällt auf, was nicht wirklich repräsentativ ist, das häufig Schadcode mit einem PDF Exploit in das System mit eingebracht werden soll. Ja nach AV Programm und Patchlevel gelingt dies mehr oder weniger gut. Entfernt man entsprechend in der Registry das BHO von Adobe, so kann der Browser keine PDFs mehr im Browserfenster zeigen. Man muss das Dokument downloaden und selbst ausführen, bzw. dazu erst einmal den Reader starten. Aber: Ein wichtiger Punkt zur Systeminfektion ist an dieser Stelle nicht mehr vorhanden und viele Exploits funktionieren dann an dieser Stelle nicht mehr. Gut, es wird neue und bessere geben (es gibt sie auch), aber man grenzt die Trefferwahrscheinlichkeit ein wenig ein. Und der Benutzer behält ein wenig mehr die Kontrolle darüber, was andere Programme nebenher so auf der Maschine machen.

BHOs werden in der Windows-Registrierung unter dem Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
registriert. Beispiel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01234ABC-DEF1-1D67-123A-123B7D123ABC}

Aus der Registrierungsdatenbank können leicht mit RegEdit BHOs entfernt werden. Tools wie Spybot zeigen leicht und schnell an, was alles an BHOs im System existiert. Damit lasst sich auch schnell die ID des BHOs ablesen und es kann los gehen. Auch eine Toolbar wird als BHO eingebunden, ein Blick auf das Bereich kann nützlich sein, möchte man sich sicher sein, etwas was wirklich deinstalliert zu haben.