„DNS-Changer“ – Das Ende

Mein Kollege Kurt schrieb bereits hier und hier über “Operation Ghost Click” des FBI, welchee nun endet.

Am Monatg, den 9. Juli, um 06:00 (MEZ) werden die temporären DNS-Server des FBIs heruntergefahren. Da es immernoch mehrere tausend infizierte Computer gibt – muss man sich fragen, was mit diesen geschieht.

Computer im Internet haben jeweils Ihre eigene Adresse – die IP-Adresse. Es gibt 2 versionen:

  • IPv4 welches eine 32-bit Adresse ist bspw. 192.168.0.23 und
  • IPv6 welches eine 128-bit Adresse ist bspw. 2001:db8:85a3:8d3:1319:8a2e:370:7347

Man sieht deutlich, dass diese Adressen nicht so einfach zu merken sind wie bspw. “kaspersky.com”. Aus diesem Gund wurde das “Domain Name System” geschaffen, welches Domainnamen wie “kaspersky.com” auflöst und die entsprechende IP-Adresse zurückgibt um sich zum Server zu verbinden.

Der Schädling “DNS-Changer” tauscht die DNS-Server-Einträge auf dem infizierten System mit seinen eigenen aus, um sog. “Click Hijacking” durchzuführen. Bei dieser Technik werden infizierte Benutzer zu Werbeseiten der Kriminellen umgeleitet. Desweiteren wird durch sog. “Advertising Replacement” Werbung auf Webseiten durch welche von Kriminellen ausgetauscht.

Glücklicherweise konnte das FBI die Kriminellen festnehmen und installierte temporär DNS-Server um einen “Blackout” für die Masse an infizierten Computern zu verhindern. Dies endet jedoch durch das Abschalten der Server am Montag. Infizierte Systeme können danach Domainnamen nicht mehr auflösen um sich bspw zu Webseiten zu verbinden.

Wenn man die Adresse eines Server kennt, kann man diese trotzdem anstatt des Domainnamens benutzen bspw. 195.122.169.23 ist “securelist.com”, was jedoch keine einfache Lösung ist.

Trotz der vielen Berichte um diese Thematik, ist es wichtig zu unterstreichen, dass es keinen Grund zur Panik gibt. Die Lösung ist sehr einfach – näheres hierzu weiter unten.

Im Jahr 2012 identifizierten wir 101.964 Infektionsversuche auf unsere Kunden durch DNSChanger.
Die gute Nachricht ist, dass die Infektion blockiert wurde und die Anzahl dieser Versuchen sinkt.

207319856

Diese Karte der letzten Woche zeigt, dass die Anzahl an Infektionen/Versuchen sinkt. Natürlich sind Computer mit altem oder keinem Schutz nach wie vor gefährdet.

Wie findet man heraus, ob man infiziert ist?

Die DNS Changer Working Group bietet hierzu Informationen auf Ihrer Webseite an – wie wir jedoch bereits berichtet haben, sind diese Webseiten zur automatischen Erkennung nicht 100% zuverlässig. Daher ist eine manuelle Überprüfung der DNS Server IPs besser.

Bei einer Infektion, kann man die freien DNS-Server von Google (8.8.8.8 und 8.8.4.4) benutzen. OpenDNS bietet ebenfalls freie DNS-Server an, welche weitere Sicherheitsfunktionen beinhalten (208.67.222.222 und 208.67.220.220)

Die beste Lösung ist natürlich eine Sicherheitslösung zu installieren, welche die Infektion erkennen, beseitigen und die DNS-Server-Einstellungen bereinigen kann.

Da einige DNSChanger Infektionen als Begleitung von TDSS, einem komplexen rootkit, auftauchen, können Sie ebenfalls unser “Kaspersky TDSSKiller”-Tool zum erkennen und entfernen benutzen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.