Update zu „DNSChanger – Desinfektion von 4 Millionen infizierten Hosts“

Die Bekanntgabe der „Operation Ghost Click“ des FBI im November 2011 und die damit verbundenen verzögerten Anstrengungen, das Rove Digital-Botnetz zu zerschlagen, über die wir bereits berichteten, spuken weiterhin sowohl durch die Internet-Netzwerke als auch durch die Massenmedien. Ein Artikel im Forbes Magazine und ein Artikel in der Times vom 23.04. rief die Geister zurück, unter anderem mit der Behauptung, das die von der DNSChanger-Arbeitsgruppe angebotene Website neu ist – was nicht stimmt. Die beschriebene Operation von 2011 und die vorübergehend ausgelagerten Ersatz-DNS-Server sowie die verzögerte Desinfektion bleiben dieselben. Dieses Phantom ist nicht übernatürlich, wozu also die ganze Diskussion? Die durch den Bundesrichter verfügte Verlängerung, durch die es dem FBI ermöglicht wird, diese Ersatz-DNS-Server zu nutzen, läuft nach wie vor Anfang Juli aus. Wenn diese Ersatz-Server Anfang Juli abgeschaltet werden, so werden die infizierten Systeme, die die DNS-Anfragen auf den früher zu Rover Digital gehörenden Servern bearbeiten, schlicht und ergreifend nicht in der Lage sein, die DNS-Anfragen zu bewältigen. Bis zum 9. Juli ist es nicht mehr weit, und allein in den USA sind noch hunderttausende von Systemen infiziert.

In einfachen Worten – die Konnektivität für die mit DNSChanger infizierten Systeme wird nicht abgeschnitten, aber Internet-Kommunikation wird für die infizierten Systeme, die bis dahin noch nicht gereinigt wurden, nicht möglich sein. In den USA werden Regierungsbehörden, Heimanwender und Organisationen aller Art, deren Systeme noch immer mit dieser Malware infiziert sind, effektiv nicht online gehen, keine E-Mails schreiben etc. können. Es wird den Anschein haben, als seien sie mit ihrem Netzwerk verbunden, aber sie werden mit nichts und niemandem kommunizieren können.

Gleichzeitig scheint es Probleme mit einigen bestehenden Identifikationsbemühungen zu geben. Gestern habe ich ein System mit DNSChanger infiziert und die Website dns-ok.us besucht. Hier die Ergebnisse:

Bezüglich des Besuchs der Website dns-ok konnte das Support-Team meines Internet Providers keine „DNS Redirections“ feststellen, die der Grund für das Durchfallen in diesem Test sein könnten, und ich werde dieses Posting mit jedem Update von unserem Netzwerkadministrator bezüglich Umleitungen der DNS-Anfragen von meinem System aktualisieren. Aber diese Geschichte ist höchst zweifelhaft. Ich denke, dass die Nutzer von infizierten Systemen durch diesen Test in die Irre geführt werden könnten. Und die IP-Adresse war innerhalb des vom FBI angebotenen, von Rove Digital unterhaltenen Bereichs – vielleicht kennt ein Leser andere?

UPDATE (1:40 p.m. MST) – Ich habe einige Details von meinem lokalen ISP-Netzwerkadministrator erhalten. Sie leiten keine derartigen DNS-Anfragen um. Allerdings leitet einer ihrer großen Upstream-Provider DNS-Anfragen an einen anderen DNS-Server, der ebenfalls ihnen gehört, um. Der andere Upstream-Link zu dem Netz scheint DNS-Anfragen nicht umzuleiten. Mein infizierter Client-Traffic muss also den Leitweg über den größeren Upstream-Provider bevorzugen, und – Simsalabim – schon erscheint die Meldung in grün, die das System für sauber erklärt. Wie man es auch betrachtet, die Antwort auf der Site kann widersprüchlich sein – manchmal rot, manchmal grün. Leider bringt eine derartige Situation Säuberungsversuche durcheinander. Also, wieder einmal ein Aufruf an die vermutlich Millionen von Nutzern von mit DNSChanger infizierten Systemen, die der Kakophonie von “Incident Responder Consultants“ ausgesetzt sind, die mit billigem Zynismus intonieren „AV is dead!“: Ladet Euch ein „AV-Produkt“ herunter und scannt damit Euer System! Natürlich empfehle ich unsere Scanner (zu finden unter http://www.kaspersky.com), da ich damit mit DNSChanger infizierte Systeme gereinigt habe (und unsere Produkte sind als voll funktionsfähige Testversionen erhältlich), ebenso wie unser Rootkit-Entfernungstool TDSSKiller zur Desinfektion von besonders komplexen Infektionen mit DNSChanger.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.