Wegelagerer im Web
Ein Add-on für den Internet-Explorer entzieht dem Surfer die Gewalt über seinen Browser
Die Methoden, mit denen Werbetreibende ahnungslose und unwillige Internet-Surfer auf ihre Webseiten lotsen und von ihren Produkten überzeugen wollen, werden immer dreister. Die hartnäckigste Entwicklung ist derzeit ein Add-on für den Internet-Explorer namens Xupiter, das sich im Browser als Toolbar präsentiert. An welchen Ecken Xupiter im Internet auf seine Opfer lauert, scheint noch etwas unklar. So berichten manche User, dass sie sich das Programm beim normalen Surfen (u.a. auf den Websites des Begleitservices FortuneCity.com) eingefangen haben, andere hingegen sind der Meinung, sich Xupiter als "Bundle" mit dem Dateitauschprogramm Grokster auf ihren den PC geholt zu haben.
Xupiter nistet sich dabei nicht etwa als Virus im PC ein, sondern macht sich zu Nutze, das die meisten Internet-Surfer ihre Sicherheits-Einstellungen auf niedrig eingestellt haben, um möglichst alle Spielereien im Internet auch anzeigen und nutzen zu können, so dass sich das Add-on als sogenanntes "drive-by download" unbemerkt und ungefragt herunterlädt und selbständig auf dem PC installiert. Erst beim nächsten Starten des Browsers merkt der Surfer die Parasitensoftware. So überschreibt Xupiter die Startseite des Surfers mit der Xupiter-Homepage, lenkt Suchanfragen auf die Xupiter-Suchmaschine um, öffnet Pop-ups auf dem Bildschirm oder lädt ungefragt Spiele herunter und trägt eigenwillig ausgewählte Buchstaben und Zeichen in Suchanfragen oder Formulare ein.
Ob das Programm auch persönliche Daten vom PC des Surfers ausspäht und weiterleitet, ist noch unklar. Zweck der ganzen Sache: Möglichst viele der täglich zigmillionen Suchanfragen auf die Xupiter-Homepage zu lenken, in der dann hauptsächlich jene Kunden als Suchergebnis angezeigt werden, die dafür auch bezahlen.
Die Mehrzahl der technisch unbedarften Internetnutzer steht den neuen Voreinstellungen und Downloads hilflos gegenüber, denn weder ein Überschreiben der Browser-Optionen noch eine De-Installation von Xupiter ist ohne weiteres möglich. Normalerweise hilft in einem solchen Fall zumindest die Bearbeitung der System-Registry. Aber auch spezielle Programme wie die etablierten Ad-Aware oder Spybot spüren Software dieser Art auf und entfernen sie aus dem System. Xupiter entzieht sich jedoch erfolgreich jedem Versuch des Löschens. Gelöschte Programmteile werden beim nächsten Gang ins Internet automatisch wieder von der Xupiter-Homepage nachgeladen. Zwar bietet Xupiter, versteckt auf seiner Homepage, eine De-Installations-Routine an, doch die arbeitet nur bei wenigen PCs anstandslos. Die meisten User haben danach immer noch bzw. noch schlimmere Probleme mit ihrem System.
Auch das Entfernen von Xupiter.com als Startseite des Browsers wird im FAQ-Bereich als einfach beschrieben, doch dies gilt nur für den Fall, dass der Surfer auf der Xupiter-Seite selbst auf den Button klickt, der dann Xupiter.com als Startseite in den Browser einträgt, ohne jedoch das Add-on zu installieren. Überraschenderweise ist auf der Xupiter-Website von dem Add-on überhaupt nichts zu sehen, trotzdem heißt es in den Benutzungsbedingungen, dass der Kunde sich bei der Nutzung des Programms darüber bewusst ist, dass es mit einem automatischen Update-Mechanismus ausgestattet wurde, um stets die aktuellste Version dem Anwender bereitstellen zu können. Darauf wird zumindest per Link auch von jenen Webseiten verwiesen, die den Anwender über ein Systemfenster fragen, ob er das Xupiter-Programm downloaden und installieren will. Was ihn nach dem Download erwartet, darüber wird er nicht aufgeklärt.
Xupiter gehört der im ungarischen Gyongyos gelegenen Firma Tempo Internet. Inzwischen haben sich im Internet zahlreiche Websites dem Problem De-Installation von Xupiter angenommen. "Als uns Xupiter das erste Mal begegnete, haben wir eine ganze Woche gebraucht, um das Programm zu analysieren", erklärt Mike Healan von SpywareInfo. Erst nach 26.000 Zugriffen auf Webpages wussten die Sicherheitsexperten, wie die Software funktioniert und was sie alles anrichtet. Wichtigstes Indiz, dass es sich dabei um eine böswillige Sache handelt:
"Sobald etwas genaueres bekannt wird, wie das Programm arbeitet, wird der Code von den Xupiter-Programmierern sofort geändert und beim nächsten Nachladen upgedated."
Auch geht SpywareInfo davon aus, dass Xupiter nicht nur Anfragen auf seine Seite umleitet, sondern diesen "Service" auch anderen Firmen anbietet. "Ein oder zwei Mal im Monat werden die Opfer auf eine neue Seite entführt", weiß Healan, "und jede neue Update-Version von Xupiter geht ganz andere Wege und hat einen anderen Programmcode, um seine Funktionen auszuführen".
Xupiter ist nicht der erste Versuch, Surfer gewaltsam auf bestimmte Seiten zu dirigieren. Dem gleichen Programmierer wird die ebenso schon recht hartnäckige Vorgängerversion Browserwise.com zugeschrieben. Schon seit längerem ist lop.com von der Firma C2 Media bekannt, das sich auf dem Rechner als MP3- oder Erotik-Suchsoftware tarnt und als AktiveX-Element auf diversen MP3- und Pornoseiten automatisch heruntergeladen wird. Das Programm hakt sich ebenso bei jedem Systemstart in den Browser ein und lenkt bei jeder falsch eingegebenen Adresse, bei einer Suchanfrage oder beim Öffnen eines neuen Fensters auf die lop.com-Homepage um, ändert die voreingestellte Startseite und Suchmaschine und auch die Bookmarks des Browsers. Allerdings lässt sich lop.com mit Ad-Aware und Spybot recht gut aus dem System entfernen. Da auch die Homepages von lop.com und Xupiter sehr ähnlich sind, gehen manche Experten davon aus, dass die gleichen Programmierer Urheber der Software sind.