DNS-Changer Millionen Deutsche riefen Testseite auf
DNS-System: Von Kriminellen auf gefälschten Server umgeleitet
Foto: Trend-Micro-BlogHamburg - Bis Donnerstagvormittag kurz nach 11 Uhr waren es 6,2 Millionen, am Nachmittag dann schon 7,5 Millionen Mal. So häufig wurde die Testseite des Bundesamts für Sicherheit in der Informationstechnik , bereitgestellt von der Deutschen Telekom, aufgerufen, mit der Nutzer überprüfen können, ob ihr Rechner durch das Schadprogramm DNS-Changer manipuliert worden war. Allein bei SPIEGEL ONLINE wurde der Artikel über die Warnung beinahe eine Million Mal angeklickt. Für die Behörde ist die Aktion damit ein Erfolg - auch wenn unklar ist, ob wirklich all jene, deren Rechner von dem Trojaner auf Abwege geführt worden waren, nun informiert sind und entsprechende Gegenmaßnahmen einleiten können.
38.000-mal wurde die rot markierte Warnseite mit weiterführenden Informationen für Betroffene aufgerufen, aber das bedeutet nicht, dass so viele Rechner auch tatsächlich durch die Schadsoftware auf einen gefälschten DNS-Server umgeleitet wurden. Diverse Medien, darunter auch SPIEGEL ONLINE, haben die Warnseite (mit entsprechendem Hinweis) zu Demonstrations- und Informationszwecken direkt verlinkt, sie wurde also auch von Nutzern besucht, deren Rechner nicht verseucht sind. Zwischen den echten Klicks von infizierten Rechnern und den über einen Direktlink auf die Seite gekommenen Nutzern könne man nicht unterscheiden, teilte die Telekom auf Anfrage mit. Trotzdem ist davon auszugehen, dass eine ganze Reihe von Surfern gestern überrascht feststellen musste, dass der eigene Computer seit Monaten über einen ursprünglich von Kriminellen aufgesetzten DNS-Server ins Netz ging.
Hintergrund: Die US-Bundespolizei FBI betreibt derzeit Server, über die Kriminelle zuvor den Datenverkehr von Millionen Rechnern umgeleitet hatten. Dem Blog des IT-Sicherheitsunternehmens Trend Micro zufolge stammten die Täter aus Estland. Hätten man einfach alle Steuerungscomputer der Kriminellen abgeschaltet, wären wohl Millionen Computer auf der ganzen Welt schlagartig vom Internet abgeschnitten gewesen. Laut FBI riefen Rechner vor der offiziellen Warnung am gestrigen Mittwoch von bis zu 33.000 unterschiedlichen IP-Adressen aus Deutschland pro Tag die von der Behörde übernommenen Steuerungsrechner des Zombie-Netzwerks auf.
Rootkit-Virus ist kaum sauber zu entfernen
Die Kriminellen hatten die Rechner unter anderem mit einer Schadsoftware namens DNS-Changer infiziert, welche die DNS-Einstellungen manipulierte. Das DNS-System wird im Internet dazu benutzt, um benutzerfreundliche Web-Adressen, sogenannte URLs (wie www.spiegel.de) in computertaugliche Netzwerkadressen oder IP-Nummern (195.71.11.67) zu übersetzen. Indem sie die DNS-Abfragen der betroffenen Rechner auf manipulierte DNS-Server umleiteten, konnten die Kriminellen gezielt Werbeeinblendungen an die Rechner senden, Suchergebnisse manipulieren oder weitere Schadsoftware nachladen lassen. Schaltet das FBI die manipulierten DNS-Server ab, können die infizierten Rechner nicht mehr nachschlagen, welche Netzwerkadressen zu welchen Web-Adressen gehören. Das soll im März passieren.
Wer zu jenen gehört, bei denen ein Klick auf den Link zu www.dns-ok.de zur Warnseite mit dem roten Balken führte, sollte darüber nachdenken, sein Betriebssystem komplett neu aufzusetzen. Denn der Virus, der auch DNS-Changer transportierte, ist ein sogenanntes Rootkit. Solche Schädlinge wurzeln tief im System und lassen sich nur mit Mühe (und unter dem Risiko eines Systemkollapses) sauber entfernen. Selbst Virenschutzprogramme können ein einmal installiertes Rootkit unter Umständen nicht mehr aufspüren. Weiterführende Informationen für Betroffene gibt das BSI auf der Warnseite .
Grundsätzlich gilt: Wer im Internet ohne aktuellen Virenschutz unterwegs ist, handelt fahrlässig. Kriminelle Aktionen wie der Aufbau des DNS-Changer-Netzwerks sind ohne die Mithilfe von Nutzern, die ihre Rechner nicht ausreichend absichern, nur schwer möglich.
