Die Zeiten ändern sich.
Dieser Beitrag scheint älter als 15 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.
Vor einigen Tagen wurde dem Verbraucherschutzverein Antispam e.V. ein Link zugespielt, der ganz neue Ausmaße der kriminellen Energien von Abzockern aufzeigt. Unter dem URL der-firefox-3.de, der zu dem Abzocknetzwerk der Firma „ontheRoad Networx“ aus Rostock gehört, befindet sich ein angeblicher Download des Firefox 3.1. Lädt man diese Setup-Datei jedoch herunter und versucht damit, den Firefox zu installieren, werden persönliche Daten abgefragt, die später zu Rechnungs- und Mahnungszusendungen verwendet werden sollen. Um Geschädigte davon abzuhalten, sich im Internet über diese Abzocke zu informieren, manipuliert diese Setup-Datei die in Windows-Systemen zur Auflösung von URLs eingesetzte hosts-Datei und „erdet“ die Domains etlicher Verbraucherschutzseiten auf den lokalen PC, so dass diese unerreichbar werden.
Die hosts-Datei befindet sich im Windows-Systemverzeichnis. Also bspw. C:\Windows\System32\drivers\etc\hosts (sie hat keine Dateiendung). Vorbeugender Schutz gegen solche Manipulationen kann das Setzen eines Schreibschutzes auf die hosts-Datei sein. Von dem oben genannten Szenario sind Windows 95/98/ME und XP Systeme betroffen. Ebenfalls ist zu erwarten, dass auch Windows Server 2003 anfällig ist. Unter Windows 2000 führt der Versuch, die hosts-Datei zu manipulieren, in der Regel zu einem Absturz des schädlichen Programmes aufgrund eines Programmierfehlers. Unter Windows-Vista funktionierte das Manipulieren der hosts-Datei, nach bisherigen Erkenntnissen, auch nicht.
Um die hosts-Datei zu reinigen, genügt es, den Windows-internen Texteditor (mit Administratorrechten) zu starten und die schlechten Einträge heraus zu löschen. Dazu geht man wie folgt vor. Klicke auf „Start“ -> „Ausführen“ und gibt ein:
notepad „%windir%\system32\drivers\etc\hosts“
Nach einigen mit dem Raute-Symbol (#) angeführten Kommentaren sollte dort die Zeile 127.0.0.1 localhost stehen. Alle übrigen Einträge, die mit 127.0.0.1 beginnen und worauf eine Domain einer „gutartigen“ Seite folgt (bspw. antispam.de, computerbetrug.de, protecus.de) sollten gelöscht werden. Anschließend speichert man die Datei und die Manipulationen sind wieder gelöscht.
Der Anbieter dieser Setup-Datei, die nach Eingabe der persönlichen Daten und Manipulation der hosts-Datei vom Originalserver herunter lädt, um das Originalprogramm zu installieren, stellt auf seiner Seite software-stream.de noch weitere OpenSource-Software und Shareware bzw. frei verfügbare Demo-Versionen zur Verfügung. Bei manchen Dateien ist das vorherige Anmelden direkt auf der Webseite notwendig, bei anderen wird auch das Prinzip des oben genannten „Installers“ genutzt.
Mein Rat an dieser Stelle ist es, sich solche Software nur von den Original-Quellen (also direkt beim Hersteller und bei den vom Hersteller verlinkten Quellen) herunter zu laden. Ein weiterer Rat, der sich auch mit dem Rat der Verbraucherschutzvereine deckt, ist es, Rechnungen von Abzockern nicht zu bezahlen, so lang man beim angeblichen Vertragsschluss nicht hinreichend über die Modalitäten hingewiesen wurde (bspw. Kosten versteckt auf der Seite angebracht oder in den AGB versteckt).
Die Verbraucherschutzvereine Antispam.de und Computerbetrug.de haben eine gemeinsame Presseerklärung zum Thema veröffentlicht.