DNS-Changer: die Zeit für die Trojaneropfer läuft ab
Die Zeit für die Opfer der unter dem Namen DNS-Changer bekannt gewordenen Schadsoftware läuft ab. Nach Ablauf des Wochenendes können die Infizierten Rechner das Internet nicht mehr nutzen.
Das unter dem Namen „DNS“ bekannte System ist der Dreh- und Angelpunkt des Internet, so wie wir es heute kennen. DNS, das „Domain Name System“ sorgt dafür, dass unser Browser nach der Eingabe von „www.computerbetrug.de“ (oder jedes anderen Domainnamens) den richtigen Rechner findet, der die gewünschten Seiten zur Verfügung stellt. Das gilt auch zum Beispiel im Bereich Homebanking. Nachdem man die Adresse der Webseite der eigenen Bank in die Adresszeile eingegeben hat, verbindet sich der Rechner zu einem DNS-Server, der ihm auf Anfrage hin die richtige IP-Adresse hinter dem Domainnamen gibt. Im Prinzip ist das System mit der Telefonauskunft zu vergleichen.
Um die Surfer auf falsche Seiten zu locken gibt es verschiedene Möglichkeiten und Versuche, die sogenannte „Namensauflösung“ (vom Namen zur IP-Adresse) zu manipulieren. Die vermutlich erfolgreichste Schadsoftware in diesem Bereich war der „DNS-Changer“. Der Schädling sorgte dafür, dass die befallenen Rechner nicht mehr die DNS-Server ihrer Provider nutzten, sondern diejenigen, die von den Tätern selbst ins Internet gestellt wurden. Damit war es ihnen möglich, die Benutzer auf beliebige Rechner zu lenken. Mit der Eingabe von „http://homebanking.meinebank.de“ landete man also nicht mehr bei der eigenen Bank, sondern irgendwo – bevorzugt auf gefälschten Bankseiten, die die Täter selbst online gestellt hatten. Genauso wurden teilweise die Einträge der Updateserver der Antivirenhersteller manipuliert, so dass die Virenscanner keine Updates mehr erhielten.
Im November 2011 gelang es dem FBI, einen Ring von Cyberkriminellen auszuheben, der für den Trojaner Zlob/DNS-Changer verantwortlich war. Hierbei erhielten die Ermittler auch Kontrolle über die manipulierten DNS-Server. Um die befallenen Rechner nicht plötzlich vom Internet zu trennen wurde beschlossen, dass die manipulierten Server – ab dem Zeitpunkt aber mit echten DNS-Daten – bis zum 9. Juli 2012 weiter betrieben werden sollten. Dies sollte den Betroffenen genug Zeit verschaffen, ihre Rechner zu reinigen.
Übermorgen ist es so weit, die DNS-Server werden abgeschaltet. Ab diesem Zeitpunkt werden die verseuchten Rechner keine Möglichkeit mehr haben, Domainnamen zu IP-Adressen aufzulösen. Im Prinzip bedeutet das, dass die Rechner im Internet nicht mehr nutzbar sind. Dieses Wochenende ist also die letzte Chance, den Rechner ohne Funktionsausfall zu bereinigen.
Um den eigenen Rechner zu prüfen reicht es aus, die Seite www.dns-ok.de aufzurufen. Auf dieser Seite wird dann sehr schnell geprüft, ob der Rechner befallen ist. Tipps, wie man den Schädling wieder loswerden kann, findet man unter anderem im Botfrei-Blog.