DNSChanger – Letzter Aufruf zum Cleanup

Nun ist es soweit – letzter Aufruf zum DNSChanger-Cleanup. Am heutigen Montag werden die vom FBI betriebenen Ersatz- DNS-Server offline genommen, weil die vom Gericht verordnete Verlängerung zu Ende geht, und es kann durchaus sein, dass Ihre Systeme diese Server als Lösung verwenden. Es gibt eine Liste von Websites, die Ihnen – allerdings unzuverlässig – dabei helfen könnte herauszufinden, ob Ihr Rechner oder Router weiterhin die DNS-Einstellungen des Servers des „DNSChanger“-Betreibers unterstützt. Der Grund für die Unzuverlässigkeit liegt zum Teil darin, dass große Upstream-Internet-Provider unabsichtlich Verwirrung gestiftet haben, zum Teil in schwachen/ineffizienten web-seitigen Detektionsumsetzungen.

In den USA heißt es, dass die DNS-Einstellungen von noch 60 000 Hosts geändert werden müssen. Wie viele von diesen Systemen sind tatsächlich „infiziert“? Das weiß niemand. Auch die Zahl selbst könnte übertrieben groß sein. Es könnte sein, dass keines dieser Systeme infiziert ist. Oder auch ausnahmslos alle könnten infiziert sein. Vielleicht nutzen alle LAN-seitigen Systeme hinter Heim- und Unternehmensroutern, oder auch von Malware gesäuberte Systeme, die noch immer Artefakte dieser Infektion in sich tragen, nach wie vor Rove Digital-Server für die DNS-Lösung.

Mit anderen Worten – man hat vielleicht keine Lungenentzündung mehr, doch immer noch einen Husten. Und man ist äußerst gefährdet erneut zu erkranken. Einige Antiviren-Produkte, wie auch hier bei Kaspersky, haben die Artefakt-Einstellungen von DNSChanger auf betroffenen Rechnern erkannt und angeboten, diese Einstellungen auf “sauberen” DNS-Servern neu zu konfigurieren. Diese DNS-Reset-Routine wird von Kaspersky Endpoint Security 8.0 und den Produkten für Heimanwender 2010+ mit diesem Popup für „Trojan.Multi.DNSChanger.Gen“ bereitgestellt:

207319859

Sie müssen lediglich auf „Yes“ klicken, und die DNS-Einstellungen Ihres Systems werden dahingehend neu konfiguriert, dass sie DHCP-zugewiesene oder saubere, offene DNS-Services nutzen. Nach der Host-seitigen Neukonfiguration ist es noch immer interessant, die Sites von www.dns-ok.us zu besuchen, um herauszufinden, ob der Heimrouter nach wie vor schadhaft konfiguriert ist.

Interessant an diesem Cleanup ist, dass die Aktiva der Operator-Unternehmen bereits beschlagnahmt wurden. So könnte man meinen, dass die Geschichte hier ein Ende hat. Doch die vielen Arten von Malware, die in den letzten paar Jahren in Umlauf gebracht wurden, und die dazu geführt haben, dass diese DNS-Einstellungsmodifikationen Click-Jacking-Bemühungen unterstützen, könnten die Update-Funktionalität von Antiviren-Produkten und Betriebssystemen deaktiviert haben. Die Betreiber der Internet-Infrastruktur haben ihr Bestes gegeben, um dieses Problem innerhalb des gesetzlichen Rahmens zu lösen, und die Netzwerkadministratoren über infizierte Systeme in Kundennetzwerken zu benachrichtigen. Doch das heißt noch lange nicht, dass die Systeme neu konfiguriert und/oder gesäubert werden.

Selbst die Organisationen der Operator wurden für die Medien vereinfacht dargestellt. Die meisten beschlagnahmten Aktiva der führenden Unternehmen wurden „Rover Digital“ zugeordnet. Doch diese Operator arbeiteten noch unter zahlreichen anderen Namen außerhalb von New York, der Ukraine, Russland, Kalifornien, Estland, Dänemark und Zypern. Eine verwirrende Liste, die Sie vielleicht nicht gesehen haben, doch sie enthält Furox, Tamme Arendus, SPB Group, Cernel, Internet Path, Promnet Limited, ProLite Limited und Front Communications. Während alles nur auf „Rove Digital“ zeigt, wurden Millionen von Dollars “vorgeblich” durch all diese Organisationen geschleust.

Bei den von der Staatsanwaltschaft registrierten Clickjacking-Beispielen handelt es sich um Redirects von Resultaten aller großen Suchmaschinen (Google, Bing, Yahoo!), die nahezu jeder bemerken würde: von einem echten iTunes-Link zu einem gefakten iTunes-Store, von einem Netflix-Link zu einem reichlich erlogenen „BudgetMatch“-Gimmick, von dem IRS-Link zur „H&R Block“-Steuerhilfe.

Wenn Ihr Upstream-Provider Ihre DNS-Lösung nicht modifiziert hat, könnten Sie Sites wie dns-ok.us besuchen und diese positive Detektion einer DNSChanger DNS-Modifikation angezeigt bekommen:

207319860

Oder diese hier:

207319861

Doch dann könnten Sie das Folgende auf demselben Rechner sehen, der eine DNSChanger-Infektion hatte, vollständig gereinigt werden muss und die oben dargestellten Sites ausgelöst hat:

207319858

Meiner Meinung nach ist es das Beste, mit Software zu arbeiten, die Überprüfungen durchführt, zudem die DCWG-Sites zu besuchen und dann manuell die Heim- bzw. Unternehmensrouter zu überprüfen, wenn man befürchtet, dass eine Version von DNSChanger das System infiziert hat, und dann die DNS-Einstellungen auf der Workstation oder dem Router neu zu konfigurieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.