StartPage ist ein klassisches Trojanisches Pferd. Der Schädling wird direkt von seinem Autor an den jeweiligen Empfänger verschickt, hat jedoch selbst keine Funktion für einen automatischen Versand. Der erste Fall eines Massenversands von StartPage an mehrere Hunderttausend E-Mail-Adressen wurde am 20. Mai 2003 in Russland registriert. Die russischen Begleittexte des Trojaners weisen eindeutig auf seinen Ursprung – Russland oder die ehemaligen Sowjet-Republiken – hin.
StartPage kommt als ZIP-Archiv
StartPage ist ein ZIP-Archiv, das eine HTML- und eine EXE-Datei enthält. Beim Starten der HTML-Datei nutzt der Schädling die Schwachstelle Exploit.SelfExec.Html und startet dann – vom User unbemerkt – die EXE-Datei mit dem Trojaner.
Die Schwachstelle Exploit.SelfExec.Html betrifft folgende Versionen des Internet Explorer:
·Microsoft Internet Explorer 5.0 für Windows 2000
·Microsoft Internet Explorer 5.0 für Windows 95
·Microsoft Internet Explorer 5.0 für Windows 98
·Microsoft Internet Explorer 5.0 für Windows NT 4.0
Nachahmung nicht ausgeschlossen
Kaspersky Labs hat Microsoft aufgerufen, einen entsprechenden Patch zu entwickeln. Es ist nicht auszuschließen, dass in nächster Zukunft andere Schädlinge auftauchen könnten, die die gleiche Lücke zur Infizierung von Computern nutzen.
„Diese Malware kann selbst nicht als gefährlich bezeichnet werden. Sie hat als Payload nur eine Veränderung der Startseite des Internet Explorers“, kommentiert Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. „Doch StartPage hat einen Präzedenzfall geschaffen und zwar die Nutzung von Schwachstellen, für die es noch keine Patches gibt.“
„Bei StartPage haben wir es mit einer offenen Schwachstelle zu tun. Die User können sich ausschließlich mit einem Antiviren-Programm schützen. Doch längst nicht alle Programme verfügen über einen starken heuristischen Analysator und sind in der Lage, noch unbekannte Viren zu bekämpfen,“ so Eugene Kaspersky weiter. „Wir erleben jetzt, wie eine neue Schwachstelle bekannt wird, die den Impuls zur Entwicklung zahlreicher neuer Schädlinge geben und zur Entstehung neuer globaler Epidemien führen kann.“
Bekannte Lücken schließen
Nach statistischen Auswertungen von Kaspersky Labs wurden 2002 über 85% aller Infizierungen durch Schädlinge hervorgerufen, die eine einzige Schwachstelle (IFRAME) des Internet Explorers ausnutzten (z.B. Klez und Lentin). Diese Schwachstelle wurde vor über zwei Jahren entdeckt und jeder Anwender kann jederzeit den entsprechenden Patch herunterladen. Sobald dieser installiert ist, ist der Computer automatisch vor diesen und ähnlichen Viren geschützt.