DNS-Changer: BSI warnt per TV und Presse vor Trojaner

Seit einigen Tagen geistert der Trojaner DNS-Changer durch die Medien.  Zunächst sollte man seinen Rechner auf befall prüfen.

Dazu ruft man einfach die Seite www.dns-ok.de auf. Es sollte sich dann folgende Seite im Browser öffnen:

dns-changer_klein

Sollte das entsprechende Browserfenster anders aussehen, dann ist Gefahr in Verzug.

Aber keine Panik! Bei meinen Recherchen, was es mit dem Trojaner auf sich hat, war schnell klar, dass die eigentliche Gefahr längst gebannt ist. Das FBI hat schon im November 2011 das „DNS-Changer-Botnetz” geschlossen und durch korrekte Server ersetzt. Diese Server sollen am 8.März abgeschaltet werden, was für manipulierte Rechner zur Folge haben könnte, dass kein Zugriff ins Internet möglich ist.

Aber warum dann die ganze Aufregung ?

Der DNS-Changer macht zunächst einmal genau dass was sein Name suggeriert, er ändert die DNS-Server-Adresse des befallenen Rechners. Aber was ist eigentlich die DNS-Adresse und warum ist es so gefährlich wenn sie unbemerkt geändert wird?

Eine DNS-Adresse ist eine ganz normal Webadresse wie z.B. www.heise.de für die Webseite von „heise online” aber tatsächlich sieht die Adresse etwas anders aus: 193.99.144.80 . Um die Homepage von „heise online”aufzurufen könnte ich also statt „http://www.heise.de” genau so gut „193.99.144.80” in der Adresszeile des Browsers eingeben. Das Ergebnis wäre das gleiche.

In den Einstellungen der Netzwerkverbindungen ist eine Adresse für einen DNS-Server hinterlegt, bei Rechnern die über einen Router in Internet gehen ist es standartmäßig die Adresse des Routers . Ein DNS-Server ist eigentlich nichts anderes als ein Computer der die WWW-Adressen in die eigentlichen IP-Adressen wie z.B. 193.99.144.80 (im falle der Heise-Webseite) übersetzt.

Netzwerkverbindungsdetails

Hier ist zu erkennen, dass das Standartgateaway, also die Adresse des Routers (hier: 192.168.178.1) identisch ist mit der Adresse des DNS-Servers. Diese Rechner ist also nicht mit dem DNS-Changer infiziert.

Der DNS-Changer ändert den entsprechende Eintrag in der Netzwerverbindung und lenkt ihn um auf einen manipulierten DNS-Server. Dieser manipulierte Server ändert jetzt die zugriffe auf Webseiten um ohne dass der Anwender etwas dagegen tun könnte. So ist es möglich, dass man beim Homebanking  oder beim Einkaufen im Netz (EBay, Amazon usw.) über den Browser statt der eigentlichen Bankseite eine gefälschte Seite aufruft und Opfer von Phishing wird. Die einzige Möglichkeit einen so manipuliertes Betriebssystem dazu zu bringen, die echte Seite aufzurufen ist die direkte Eingabe der entsprechenden IP-Adresse.

Hier wird die Funktion von DNS-Servern sehr gut erklärt: Chaos Computer Club: Anleitung zur Konfiguration der DNS-Einstellungen

Nachtrag:

Gerade habe ich im Forum bei www.nickles.de gelesen, dass nicht nur Windows und Apple Computer von dem Trojaner befallen werden, sondern auch verschiedene Router. Unter anderem sollen Router von Linksys, D-Link, Netgear und Cisco betroffen sein. Am einfachsten kontrolliert man die DNS-Einstellungen im Router indem man sich auf dem Router anmeldet und die dort eingetragene Adresse mit den vom FBI bekannt gegebenen DNSChanger-Adressen vergleicht.  Die manipulierten Adressen liegen in den Bereichen 85.255.112.0 bis 85.255.127.255, 67.210.0.0 bis 67.210.15.255, 93.188.160.0 bis 93.188.167.255, 77.67.83.0 bis 77.67.83.255, 213.109.64.0 bis 213.109.79.255 und 64.28.176.0 bis 64.28.191.25. . Am einfachsten löst man das Problem, indem man den Router so einstellt, dass er die Adresse eines DNS-Servers automatisch vom Provider bezieht. Falls das Betriebssystem des Computers Windows ist, sollte man anschließend in der Eingabeaufforderung (CMD.EXE) noch den Befehl „ipconfig /flushdns“ eingeben, um den DNS-Cache des Rechners zu lehren.

Betroffen sind allerdings nur Router, bei denen die Zugangsdaten zum Router noch die Originaleinstellungen der Hersteller sind. Als Schutz reicht es also aus, die Herstellerdaten durch eigene zu ersetzten.

Advertisements

Hinterlasse einen Kommentar

Eingeordnet unter Allgemein, Internet, Tipps und Tricks, Windows

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s