DNS-Changer Millionen Deutsche riefen Testseite auf

Das darf wohl als Erfolg gewertet werden: Die Testseite, mit der das Bundesamt für Sicherheit in der Informationstechnik nach manipulierten Rechnern suchen wollte, ist mehr als sieben Millionen Mal aufgerufen worden. Es waren nicht sehr viele Opfer der Software DNS-Changer dabei.

DNS-System: Von Kriminellen auf gefälschten Server umgeleitet
Trend-Micro-Blog

DNS-System: Von Kriminellen auf gefälschten Server umgeleitet


Hamburg - Bis Donnerstagvormittag kurz nach 11 Uhr waren es 6,2 Millionen, am Nachmittag dann schon 7,5 Millionen Mal. So häufig wurde die Testseite des Bundesamts für Sicherheit in der Informationstechnik, bereitgestellt von der Deutschen Telekom, aufgerufen, mit der Nutzer überprüfen können, ob ihr Rechner durch das Schadprogramm DNS-Changer manipuliert worden war. Allein bei SPIEGEL ONLINE wurde der Artikel über die Warnung beinahe eine Million Mal angeklickt. Für die Behörde ist die Aktion damit ein Erfolg - auch wenn unklar ist, ob wirklich all jene, deren Rechner von dem Trojaner auf Abwege geführt worden waren, nun informiert sind und entsprechende Gegenmaßnahmen einleiten können.

38.000-mal wurde die rot markierte Warnseite mit weiterführenden Informationen für Betroffene aufgerufen, aber das bedeutet nicht, dass so viele Rechner auch tatsächlich durch die Schadsoftware auf einen gefälschten DNS-Server umgeleitet wurden. Diverse Medien, darunter auch SPIEGEL ONLINE, haben die Warnseite (mit entsprechendem Hinweis) zu Demonstrations- und Informationszwecken direkt verlinkt, sie wurde also auch von Nutzern besucht, deren Rechner nicht verseucht sind. Zwischen den echten Klicks von infizierten Rechnern und den über einen Direktlink auf die Seite gekommenen Nutzern könne man nicht unterscheiden, teilte die Telekom auf Anfrage mit. Trotzdem ist davon auszugehen, dass eine ganze Reihe von Surfern gestern überrascht feststellen musste, dass der eigene Computer seit Monaten über einen ursprünglich von Kriminellen aufgesetzten DNS-Server ins Netz ging.

Hintergrund: Die US-Bundespolizei FBI betreibt derzeit Server, über die Kriminelle zuvor den Datenverkehr von Millionen Rechnern umgeleitet hatten. Dem Blog des IT-Sicherheitsunternehmens Trend Micro zufolge stammten die Täter aus Estland. Hätten man einfach alle Steuerungscomputer der Kriminellen abgeschaltet, wären wohl Millionen Computer auf der ganzen Welt schlagartig vom Internet abgeschnitten gewesen. Laut FBI riefen Rechner vor der offiziellen Warnung am gestrigen Mittwoch von bis zu 33.000 unterschiedlichen IP-Adressen aus Deutschland pro Tag die von der Behörde übernommenen Steuerungsrechner des Zombie-Netzwerks auf.

Rootkit-Virus ist kaum sauber zu entfernen

Die Kriminellen hatten die Rechner unter anderem mit einer Schadsoftware namens DNS-Changer infiziert, welche die DNS-Einstellungen manipulierte. Das DNS-System wird im Internet dazu benutzt, um benutzerfreundliche Web-Adressen, sogenannte URLs (wie www.spiegel.de) in computertaugliche Netzwerkadressen oder IP-Nummern (195.71.11.67) zu übersetzen. Indem sie die DNS-Abfragen der betroffenen Rechner auf manipulierte DNS-Server umleiteten, konnten die Kriminellen gezielt Werbeeinblendungen an die Rechner senden, Suchergebnisse manipulieren oder weitere Schadsoftware nachladen lassen. Schaltet das FBI die manipulierten DNS-Server ab, können die infizierten Rechner nicht mehr nachschlagen, welche Netzwerkadressen zu welchen Web-Adressen gehören. Das soll im März passieren.

Wer zu jenen gehört, bei denen ein Klick auf den Link zu www.dns-ok.de zur Warnseite mit dem roten Balken führte, sollte darüber nachdenken, sein Betriebssystem komplett neu aufzusetzen. Denn der Virus, der auch DNS-Changer transportierte, ist ein sogenanntes Rootkit. Solche Schädlinge wurzeln tief im System und lassen sich nur mit Mühe (und unter dem Risiko eines Systemkollapses) sauber entfernen. Selbst Virenschutzprogramme können ein einmal installiertes Rootkit unter Umständen nicht mehr aufspüren. Weiterführende Informationen für Betroffene gibt das BSI auf der Warnseite.

Grundsätzlich gilt: Wer im Internet ohne aktuellen Virenschutz unterwegs ist, handelt fahrlässig. Kriminelle Aktionen wie der Aufbau des DNS-Changer-Netzwerks sind ohne die Mithilfe von Nutzern, die ihre Rechner nicht ausreichend absichern, nur schwer möglich.

cis



Forum - Diskutieren Sie über diesen Artikel
insgesamt 60 Beiträge
Alle Kommentare öffnen
Seite 1
kinich_janaab 12.01.2012
1.
Zitat von sysopDas darf wohl als Erfolg gewertet werden: Die Testseite, mit der das Bundesamt für Sicherheit in der Informationstechnik nach manipulierten Rechnern suchen wollte, ist mehr als sechs Millionen mal aufgerufen worden. Opfer der Software DNS-Changer waren nicht sehr viele dabei. http://www.spiegel.de/netzwelt/web/0,1518,808792,00.html
6 Millionen Deutsche oder 6 Millionen Aufrufe, ist wohl ein großer Unterschied. Warum wurde nicht einfach darauf verwiesen, das Antivirenprogramm upzudaten und den Rechner nach Befall zu prüfen. Sehr seltsam der Umweg über BSI.
Rage-Guy 12.01.2012
2. Nicht seltsam
Zitat von kinich_janaab6 Millionen Deutsche oder 6 Millionen Aufrufe, ist wohl ein großer Unterschied. Warum wurde nicht einfach darauf verwiesen, das Antivirenprogramm upzudaten und den Rechner nach Befall zu prüfen. Sehr seltsam der Umweg über BSI.
Selbst wenn man das Rootkit deinstallieren konnte, werden dadurch die Einträge für den oder die DNS-Server nicht geändert. Da ehemals "böse" DNS-Server im März 2012 abgeschaltet wird, ist dieser Test eine gute Sache. So kann jedermann - auch ohne IT-Kenntnisse - prüfen, ob Handlungsbedarf besteht. An dieser Stelle kann man die Behörden nur loben, sie verhalten sich absolut richtig und handeln professionell. Was ja nicht immer der Fall ist.
kinich_janaab 12.01.2012
3.
Zitat von Rage-GuySelbst wenn man das Rootkit deinstallieren konnte, werden dadurch die Einträge für den oder die DNS-Server nicht geändert. Da ehemals "böse" DNS-Server im März 2012 abgeschaltet wird, ist dieser Test eine gute Sache. So kann jedermann - auch ohne IT-Kenntnisse - prüfen, ob Handlungsbedarf besteht. An dieser Stelle kann man die Behörden nur loben, sie verhalten sich absolut richtig und handeln professionell. Was ja nicht immer der Fall ist.
Wenn sich die Behörden um die Sicherheit der privaten Rechner machen, sollte man aufhorchen. Bei Bedarf kann man einfach die Sicherheitskopien neu aufspielen und gut ist. Dann ist dieser Umweg über BSI überflüssig. Sie dürfen aber natürlich die Behörden loben, das sei Ihnen gegönt.
...ergosum 12.01.2012
4. Im Zweifel
bügele ich immer das Image neu drüber, installiere abschließend wenige Sachen nach und klatsche die neuesten Updates drauf (wie immer ansonsten regelmäßig auch). Summa sumarum ca. 30-40 Minuten. Sich zuvor mal auf den Partitionen genauer umzusehen ist zusätzlich hilfreich. ca. 2 bis max. 3 mal pro Jahr habe ich ein entsprechend "ungutes" Gefühl bei meinem Rechner. Der Staat wollte mir, insbesondere in den letzten Jahren, noch nie wirklich etwas Gutes tun ohne jeden Hintergedanken. Weshalb die plötzlich "Sorge" um mein Privateigentum ? Deshalb kontrolliere ich meinen Rechner immer dann besonders scharf wenn ich mal auf eine Bundesseite Zugriff nehmen mußte. Bisher hat sich bei mir nur Eines eingeprägt, - der Staat als Behörde will nur 2 Dinge von mir, - Geld und Infos. Von mir gibts die nur unter Druck und in der Not und vor allem nur aufgrund eines entsprechenden Gesetzes. Das wars dann auch schon.
Reiner_Habitus 12.01.2012
5. -
Zitat von sysopDas darf wohl als Erfolg gewertet werden: Die Testseite, mit der das Bundesamt für Sicherheit in der Informationstechnik nach manipulierten Rechnern suchen wollte, ist mehr als sechs Millionen mal aufgerufen worden. Opfer der Software DNS-Changer waren nicht sehr viele dabei. http://www.spiegel.de/netzwelt/web/0,1518,808792,00.html
Bevor die ganezen Paranoiker wieder kommen. Ich biete jedem 1.000€ an der anhand des original Quelltextes auf der Webseite nachweisen, dass dort der Bundestrojaner zum download versteckt ist. Die Seite ist vollkommen statisch und hat noch nichtenmal ein Zählpixel. Zum Vergeich: Die SPON Startseite hat schon ganze 3 aufzweisen.....
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.