So erkennen und beheben Sie einen mit DNSChanger infizierten Computer

Am 9. Juli wird das FBI ein Netzwerk von DNS-Servern schließen, von denen viele Menschen für einen ordnungsgemäßen Internetzugang abhängig waren. Diese Server waren ursprünglich Teil eines Betrugs, bei dem ein krimineller Ring estnischer Staatsangehöriger ein Malware-Paket namens DNSChanger entwickelte und verteilte, das das FBI jedoch beschlagnahmte und in einen legitimen DNS-Dienst umwandelte.

Dieser Malware-Betrug war weit verbreitet genug, dass sogar Drittunternehmen wie Google und Facebook und eine Reihe von ISPs wie Comcast, COX, Verizon und AT& T sich zusammengetan haben, um ihn zu entfernen, indem sie automatische Benachrichtigungen an Benutzer ausgeben, dass ihre Systeme mit dem Rogue DNS-Netzwerk konfiguriert sind.

Die Warnung, die oben in den Suchergebnissen angezeigt wird.
Wenn diese oder ähnliche Warnungen bei der Verwendung von Google oder anderen Diensten angezeigt werden, überprüfen Sie Ihr System unbedingt auf Malware. CNET

Wenn Sie kürzlich eine Warnung erhalten haben, wenn Sie eine Google-Suche durchführen, auf Facebook surfen oder anderweitig das Internet nutzen, die behauptet, dass Ihr System kompromittiert sein könnte, sollten Sie einige Schritte unternehmen, um Ihr System auf das Vorhandensein der Malware zu überprüfen. Dies kann auf verschiedene Arten erfolgen. Zuerst können Sie die DNS-Einstellungen in Ihrem System überprüfen, um festzustellen, ob die Server, die Ihr Computer verwendet, Teil des Rogue-DNS-Netzwerks sind.

Öffnen Sie auf Mac-Systemen die Netzwerksystemeinstellungen und für jeden Netzwerkdienst (Wi-Fi, Ethernet, Bluetooth usw.), wählen Sie den Dienst aus und klicken Sie dann auf die Schaltfläche „Erweitert“. Wählen Sie anschließend die Registerkarte „DNS“ und notieren Sie sich die aufgelisteten DNS-Server. Sie können dies auch im Terminal tun, indem Sie zuerst den folgenden Befehl ausführen:

 Speicherort der DNS-Einstellungen in OS X
Überprüfen Sie diesen Speicherort für alle Netzwerkverbindungen, um die DNS-Konfiguration in OS X anzuzeigen (klicken Sie für eine größere Ansicht). Screenshot von Topher Kessler / CNET

networksetup -listallnetworkservices

Führen Sie nach Ausführung dieses Befehls den folgenden Befehl für jeden der aufgelisteten Namen aus (entfernen Sie alle Sternchen vor den Namen und stellen Sie sicher, dass die Namen in Anführungszeichen stehen, wenn Leerzeichen vorhanden sind):

networksetup -getdnsservers „DIENSTNAME“

Wiederholen Sie diesen Befehl für alle aufgelisteten Dienste (insbesondere Ethernet- und Wi-Fi-Verbindungen), um alle konfigurierten DNS-Server aufzulisten.

Auf einem Windows-Computer (einschließlich aller Computer, die Sie möglicherweise in einer virtuellen Maschine installiert haben) können Sie das Befehlszeilentool öffnen (wählen Sie „Ausführen“ aus dem Startmenü und geben Sie „cmd“ ein, oder in Windows 7 Wählen Sie „Alle Programme“ und wählen Sie dann die Befehlszeile aus dem Ordner Zubehör). Führen Sie in der Befehlszeile den folgenden Befehl aus, um alle Netzwerkschnittstelleninformationen einschließlich der konfigurierten DNS-Server-IP-Adressen aufzulisten:

Windows-Befehlszeile mit DNS-Servern
Die Windows-DNS-Servereinstellungen für alle Schnittstellen sind in der Befehlszeile zu sehen (klicken für größere Ansicht). Screenshot von Topher Kessler / CNET

ipconfig / all

Sobald Sie die DNS-Server Ihres Systems aufgelistet haben, geben Sie sie auf der DNS-Checker-Webseite des FBI ein, um festzustellen, ob sie als Teil des Rogue-DNS-Netzwerks identifiziert wurden. Zusätzlich zum manuellen Nachschlagen und Überprüfen Ihrer DNS-Einstellungen sind eine Reihe von Webdiensten aufgetaucht, die Ihr System auf die DNSChanger-Malware testen. Die DNSChanger-Arbeitsgruppe hat eine Liste vieler dieser Dienste zusammengestellt, mit denen Sie Ihr System testen können (für diejenigen in den USA können Sie zu gehen dns-ok.us um Ihre Verbindung zu testen).

Wenn diese Tests sauber sind, müssen Sie sich keine Sorgen machen. Wenn Sie jedoch Warnungen erhalten, können Sie einen Anti-Malware-Scanner verwenden, um die DNSChanger-Malware zu suchen und zu entfernen. Angesichts der Tatsache, dass die Malware im November 2011 abrupt gestoppt wurde, gab es genügend Zeit für Sicherheitsunternehmen, ihre Anti-Malware-Definitionen zu aktualisieren, um alle Varianten von DNSChanger aufzunehmen. Wenn Sie über einen Malware-Scanner verfügen und ihn in letzter Zeit nicht verwendet haben, starten und aktualisieren Sie ihn vollständig, und führen Sie anschließend einen vollständigen Scan Ihres Systems durch. Tun Sie dies für jeden PC und Mac in Ihrem Netzwerk und überprüfen Sie außerdem die Einstellungen Ihres Routers, um festzustellen, ob die DNS-Einstellungen von Ihrem ISP korrekt sind oder ob es sich um DNS-Einstellungen handelt.

Wenn Ihr Router oder Computer nach dem Entfernen der Malware keine gültigen DNS-Serveradressen anzeigt und Ihr System keine Verbindung zu Internetdiensten herstellen kann, können Sie versuchen, Ihr System für die Verwendung eines öffentlichen DNS-Dienstes wie OpenDNS und Google zu konfigurieren, indem Sie die folgenden IP-Adressen in die Netzwerkeinstellungen Ihres Systems eingeben:

8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220

Wenn Sie nach Montag feststellen, dass Sie nicht mehr auf das Internet zugreifen können, ist Ihr System oder Netzwerkrouter wahrscheinlich immer noch mit den Rogue-DNS-Servern konfiguriert, und Sie müssen erneut versuchen, die Malware zu erkennen und von Ihren Systemen zu entfernen. Glücklicherweise ist die Malware nicht viraler Natur, sodass sie sich nicht selbst ausbreitet und Systeme automatisch erneut infiziert. Daher sollten die betroffenen Computer nach dem Entfernen und nachdem Benutzer gültige DNS-Server auf ihren Systemen eingerichtet haben, über einen ordnungsgemäßen Internetzugang verfügen.

Hintergrund
DNS ist das „Domain Name System“, das sich wie das Telefonbuch des Internets verhält und menschenfreundliche URLs wie „www.cnet.com “ in ihre jeweiligen IP-Adressen, die Computer und Router zum Herstellen von Verbindungen verwenden. Da DNS die Schnittstelle zwischen der eingegebenen URL und dem Zielserver ist, hat der kriminelle Ring ein eigenes DNS-Netzwerk erstellt, das größtenteils normal funktioniert, es dem Ring jedoch auch ermöglicht, den Datenverkehr für bestimmte URLs willkürlich auf gefälschte Websites umzuleiten, um persönliche Informationen zu stehlen oder Personen dazu zu bringen, auf Anzeigen zu klicken.

Das Einrichten des Rogue DNS-Netzwerks selbst reicht nicht aus, da dieses Netzwerk in den Einstellungen eines Computers angegeben werden muss, um verwendet zu werden. Um dies zu ermöglichen, schuf der Verbrechensring die DNSChanger-Malware (auch als RSplug, Puper und Jahlav bezeichnet), die als trojanisches Pferd verbreitet wurde und weltweit Millionen von PC-Systemen erfolgreich infizierte. Nach der Installation änderte diese Malware kontinuierlich die DNS-Einstellungen für den betroffenen Computer und sogar für Netzwerkrouter, um auf das Rogue-DNS-Netzwerk des Verbrechensrings zu verweisen. Selbst wenn Benutzer die DNS-Einstellungen ihrer Computer manuell ändern würden, würden diese Änderungen automatisch von der Malware auf ihren Systemen rückgängig gemacht.

DNSChanger infection rate chart
Seit der Entfernung ist die Zahl der infizierten Systeme zurückgegangen, obwohl weltweit immer noch Tausende infiziert sind. DCWG

Da Millionen von PC-Benutzern mit dieser Malware infiziert waren, entschied sich das FBI und andere Regierungsbehörden, nachdem der Verbrechensring im November 2011 in einem multilateralen Stich namens Operation Ghost Click entfernt worden war, gegen das Ausschalten des DNS-Netzwerks, da dies die infizierten Systeme sofort daran gehindert hätte, URLs aufzulösen, und dadurch das Internet für sie effektiv heruntergefahren hätte. Stattdessen wurde das DNS-Netzwerk aktiv gehalten und in einen legitimen Dienst umgewandelt, während Anstrengungen unternommen wurden, um Benutzer über die DNSChanger-Malware zu informieren und auf den Rückgang der weltweiten Infektionen zu warten.

Ursprünglich sollte das Rogue DNS-Netzwerk im März dieses Jahres geschlossen werden; Während die Infektionsrate nach der Auflösung des Verbrechensrings jedoch deutlich zurückging, blieb die Anzahl der infizierten Computer relativ hoch, sodass das FBI die Frist auf den 9. Juli (kommenden Montag) verlängerte. Unglücklicherweise, auch als diese Frist nähert, Tausende von PC-System weltweit sind immer noch mit der DNSChanger Malware infiziert, und wenn die Server heruntergefahren werden diese Systeme nicht mehr in der Lage sein, URLs zu IP-Adressen zu lösen.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht.