Sicherheit

Trojaner manipuliert Internet-Einstellungen

von - 11.11.2011
Trojaner manipuliert Internet-Einstellungen
Der gefährliche Trojaner DNSChanger ändert die Netzwerk-Konfiguration von PCs und Routern. Jetzt hat das FBI die mutmaßlichen Täter gefasst und das Botnetz zerschlagen. Der Trojaner ist auf vielen Computern aber weiter aktiv.
Dem FBI ist ein Schlag gegen Online-Kriminelle gelungen. Diese sollen seit Jahren Schadsoftware verbreitet und ein Botnetz betrieben haben. Der dabei verursachte Schaden soll mehr als 10 Millionen Euro hoch sein.
Entdeckt wurden die Angriffe von der US-Raumfahrtbehörde NASA. Dort wurden 130 Computer infiziert. Um die Angreifer ausfindig zu machen, schlossen sich das FBI, mehrere private Einrichtungen und IT-Unternehmen in der „Operation Ghost Click“ zusammen. Die digitale Spur führte nach Osteuropa zu einem Unternehmen, das sich als legitimer Internet-Werber ausgegeben hat. Die Ermittler nahmen dort über 100 Kontroll- und Befehlsserver des Botnetzes vom Netz. Zeitgleich verhafteten sie sechs Esten im Alter zwischen 26 und 31 Jahren. Nach einem flüchtigen Russen wird noch gefahndet. Die USA fordern die Auslieferung der Männer. Sollten sie dort verurteilt werden, drohen den Angeklagten lebenslange Gefängnisstrafen. Das FBI hat ein umfangreiches Dokument veröffentlich, in dem die zur Last gelegten Straftaten detailliert beschreiben werden. Auch die vollen Namen der mutmaßlichen Täter werden genannt. Am Ende des Dokuments findet sich eine Tabelle mit dem möglichen Strafmaß für jede einzelne Tat. Zusammengerechnet ergeben sich etwa 125 Jahre Haft pro Person.
Insgesamt sollen die Täter über 4 Millionen PCs in 100 Ländern mit der Schadsoftware DNSChanger infiziert haben. Dieser ändert die Adresse des DNS-Servers in den Netzwerkeinstellungen, sodass die DNS-Abfragen über die Server der Täter laufen. Dadurch lassen sich Seiteninhalte manipulieren und beispielsweise Werbebanner austauschen. Wenn ein Nutzer dann auf ein Werbebanner klickt, fließen die Einnahmen den Tätern zu. DNS-Changer versucht außerdem, die DHCP-Einstellungen im Router zu ändern. Das Programm probiert unterschiedliche Passwörter aus, um auch bei kennwortgeschützten Routern den Zugriff zu erlangen. Dadurch werden dann auch die Internetzugriffe anderer, nicht infizierter Geräte im gleichen Netzwerk umgeleitet. Dem Schädling gelingt es auch, das Signatur-Update von Virenscannern zu verhindern. Dadurch bleibt er auf vielen Rechnern unentdeckt.
So prüfen Sie Ihren PC auf eine Infektion mit DNSChanger
Das FBI hat die DNS-Server der Täter inzwischen vom Netz genommen und stattdessen eigene DNS-Server für die genutzten Adressen eingerichtet. Die betroffenen Benutzer haben dadurch weiterhin Internet-Zugriff und die Möglichkeit, ihren Rechner von der Schadsoftware zu befreien. Eine Infektion mit DNSChanger lässt sich an den geänderten DNS-Adressen erkennen. Diese stammen folgenden Bereichen:
85.255.112.0 bis 85.255.127.255
67.210.0.0 bis 67.210.15.255
93.188.160.0 bis 93.188.167.255
77.67.83.0 bis 77.67.83.255
213.109.64.0 bis 213.109.79.255
64.28.176.0 bis 64.28.191.255
So prüfen Sie die Adresse des DNS-Servers: Unter Window drücken Sie [Windows R], geben cmd.exe ein und klicken auf „OK“. Geben Sie dann ipconfig /all ein und bestätigen Sie mit der Eingabetaste. Im Abschnitt der verwendeten Netzwerkkarte sehen Sie dann hinter „DNS-Server“ die IP-Nummer des DNS-Servers. Diese sollte nicht aus den oben angegebenen Bereichen stammen. In den meisten Fällen ist die IP-Nummer des DNS-Servers mit der IP-Nummer Ihres DSL-Routers identisch.
Danach sollte man noch prüfen, ob der DNS-Server beim DSL-Router manipuliert wurde. Hier gibt es keine genaue Anleitung, weil die nötigen Schritte bei jedem Modell anders sind. Sehen Sie daher im Handbuch des DSL-Routers nach. Im Zweifelsfall sollte man den Router auf die Werkseinstellungen zurücksetzen.
Bei der verbreiteten Fritz!Box lässt sich die tatsächliche IP-Adresse des DNS-Servers bei den meisten Modellen über die Web-Oberfläche des Routers weder ändern noch prüfen. Es ist also sehr unwahrscheinlich, dass DNSChanger hier in der Lage ist, die Konfiguration zu manipulieren.
Wenn ein Verdacht auf eine Infektion besteht, sollten Sie Ihren PC zuerst mit einem Online-Virenscanner prüfen, beispielsweise mit dem kostenlosen Trend Micro HouseCall. Sie können auch einen vom Betriebssystem unabhängigen Virenscanner verwenden, etwa das ebenfalls kostenlose Avira AntiVir Rescue System.
Verwandte Themen