Schad-SoftwareBundesamt empfiehlt Prüfung von Rechnern auf DNS-Changer

Internetnutzer sollen testen, ob die Netzwerkeinstellungen ihrer Computer durch Hacker manipuliert wurden. Sie können sonst im März nicht mehr aufs Netz zugreifen. von afp und dpa

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat alle Internetnutzer dazu aufgerufen, zu überprüfen, ob ihre Rechner mit der Schad-Software DNS-Changer befallen sind. Dafür hat das Amt eine Internetseite eingerichtet, auf der diese Überprüfung möglich ist: www.dns-ok.de . Hintergrund der Aufforderung ist, dass Kriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schad-Software DNS-Changer infiziert hatten.

DNS steht für Domain Name System und ist einer der wichtigsten Dienste im Internet. Dieser ist dafür verantwortlich, Web-Adressen (URL) wie www.zeit.de in numerische IP-Adressen umzuwandeln. Kriminelle hatten diesen Dienst durch einen Trojaner auf PC- und Mac-Systemen verändert. Dadurch wurde den URLs falsche IP-Adressen zugewiesen, sodass Internetnutzer auf manipulierte Internetseiten geleitet wurden.

Anzeige

Dort fand dem BDI zufolge etwa die Verbreitung angeblicher Antiviren-Software und illegaler Verkauf von Medikamenten statt. Zudem konnten die Täter so gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schad-Software nachladen.

Internetnutzer sollten möglichst schnell überprüfen, ob sie betroffen sind, da sie sonst ab dem 8. März 2012 das Internet nicht mehr nutzen können. An diesem Tag werden nämlich die Server abgeschaltet, durch die die Manipulation betrieben wurde.

Nachdem der Betreiber des sogenannten DNS-Changer-Botnetzes, das für die Verbreitung der Schad-Software verantwortlich war, im November 2011 vom FBI verhaftet wurde, wurden die Server durch korrekt arbeitende DNS-Server ersetzt, aber nicht abgeschaltet. Dies soll aber nun erfolgen.

Nach Angaben der amerikanischen Bundespolizei FBI sind in Deutschland derzeit rund 33.000 Computer betroffen. Beim Aufruf der Internetadresse erhalten Nutzer, deren Computersystem von dem Schadprogramm manipuliert wurde, eine Warnmeldung mit roter Statusanzeige. Ergänzt wird dieser Hinweis durch eine Reihe von Empfehlungen, mit denen die Anwender die korrekten Systemeinstellungen wiederherstellen oder die Schadsoftware vom System entfernen können. Ist der Rechner des Internetnutzers nicht betroffen, erhält der Besitzer die Meldung mit einer grünen Statusmeldung, dass sein System korrekt arbeitet.

Zur Startseite
 
Leserkommentare
  1. 1. Ohje,

    Dafür hat das Amt eine Internetseite eingerichtet, auf der diese Überprüfung möglich ist:

    Danach ist klar ob ich die Schadsoftware auf dem REchner habe. Das jedoch ein Bundesamt eine Prüfseite anbietet die meinen Rechner duchsucht, das ist sehr verdächtig. Oje, wer geht freiwillig auf diese Seite.

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    überprüft lediglich, über welchen DNS-Server sie selbst aufgerufen wurde. Da wird überhaupt nichts durchsucht.

    • Nexic
    • 11. Januar 2012 15:16 Uhr

    Ihr Misstrauen ist berechtigt, nachdem bekannt wurde das man sich bereits Verdächtig macht wenn man eine öffentliche Fandungsliste des BKA betrachtet sollte man sich lieber zwei mal überlegen ob man auf staatliche Websites klickt.

    http://www.heise.de/newst...

    @1:
    Bevor Sie Paranoia verbreiten:
    Die Testseite prüft nur, ob Ihr PC den FBI-Nameserver nutzt, sonst nichts.

    Wer näher interessiert ist - eine Anleitung vom FBI zum Entdecken/Entfernen der Malware gibts hier:

    http://www.fbi.gov/news/s...

    @4: Es sind Mac und PC betroffen. Der Artikel ist doch völlig richtig.

    Was mich trotzdem stutzig und ärgerlich macht:
    Seit Monaten laufen die DNS-Zugriffe also über die Server, die nun das FBI hat. Ein Schelm, wer böses denkt. Das FBI hätte diese Server sofort abschalten oder besser informieren müssen.

  2. überprüft lediglich, über welchen DNS-Server sie selbst aufgerufen wurde. Da wird überhaupt nichts durchsucht.

    6 Leserempfehlungen
    Antwort auf "Ohje,"
    Reaktionen auf diesen Kommentar anzeigen

    oder vermuten Sie das?

    Da es um DNS geht, liegt das ja auch völlig nahe.

    Mir geht diese pseudoinformierte Panikmache von vielen Leuten, die überall eine Verschwörung wittern, ganz gehörig auf die Nerven.

  3. oder vermuten Sie das?

    Antwort auf "Die Seite"
    Reaktionen auf diesen Kommentar anzeigen
    • dAnjou
    • 11. Januar 2012 15:06 Uhr

    ..., Herr Klausabc, dann sollte man nicht solche paranoiden Unwahrheiten in die Welt stellen. Diese Seite macht genau nur das, was tarantyno bereits sagte.

    Zum Artikel:
    "Kriminelle hatten diesen Dienst durch einen Trojaner auf PC- und Mac-Systemen verändert."
    Ist ein Mac etwa kein PC? Und wenn nicht, was sind dann Linux-Systeme? Oder BSD-Systeme? Von jemandem, der sich an einen solchen Artikel setzt, hätte ich mehr erwartet als Apple-Propaganda nachzuplappern.

    Schade.

    • dAnjou
    • 11. Januar 2012 15:06 Uhr

    ..., Herr Klausabc, dann sollte man nicht solche paranoiden Unwahrheiten in die Welt stellen. Diese Seite macht genau nur das, was tarantyno bereits sagte.

    Zum Artikel:
    "Kriminelle hatten diesen Dienst durch einen Trojaner auf PC- und Mac-Systemen verändert."
    Ist ein Mac etwa kein PC? Und wenn nicht, was sind dann Linux-Systeme? Oder BSD-Systeme? Von jemandem, der sich an einen solchen Artikel setzt, hätte ich mehr erwartet als Apple-Propaganda nachzuplappern.

    Schade.

    8 Leserempfehlungen
  4. Die Prüfseite "durchsucht" garnix. Es gibt 2 Seiten, eine "OK"-Seite und eine "Alarm"-Seite. Je nachdem ob du infiziert bist, rufst du die OK- oder die Alarm-Seite auf.

    Hätten die zwar auch gleich auf der Seite erklären können... aber ich versuch es mal einfach aber richtig zu erklären:

    Du gibst "www.dns-ok.de" in deinen Browser ein. Dein System fragt über den eingestellten DNS Server nach, unter welcher IP diese Seite zu erreichen ist.
    Hast du einen korrekten DNS-Server eingestellt, wirst du auf die IP verwiesen, die auf die "OK"-Seite führt.
    Nutzt du den ehemals schädlichen DNS-Server, der jetzt vom FBI betreut wird, eingestellt, kriegst du die IP der "Alarm"-Seite durchgegeben.

    Die Prüfung findet also nicht auf deinem Rechner statt. Keine Sorge...

    7 Leserempfehlungen
    • Nexic
    • 11. Januar 2012 15:16 Uhr

    Ihr Misstrauen ist berechtigt, nachdem bekannt wurde das man sich bereits Verdächtig macht wenn man eine öffentliche Fandungsliste des BKA betrachtet sollte man sich lieber zwei mal überlegen ob man auf staatliche Websites klickt.

    http://www.heise.de/newst...

    5 Leserempfehlungen
    Antwort auf "Ohje,"
    • Ranjit
    • 11. Januar 2012 15:19 Uhr

    Ich bin kein Informatiker, aber die Maßnahme scheint mir undurchdacht.

    Soweit ich das sehe verknüpft DNS einen Domainnameb (z.b. www.zeit.de) mit der IP des Zielservers, sodass man sich nicht die Zahl merken muss.
    Wenn ich das manipuliere, könnte ich doch alle Anfragen an www.dns-ok.de umleiten auf eine IP unter der eine Kopie der Seite zu finden ist, die immer die "alles in Ordnung" Nachricht ausgibt.

    Oder sehe ich das falsch?

    Reaktionen auf diesen Kommentar anzeigen
    • GDH
    • 11. Januar 2012 16:15 Uhr

    "Wenn ich das manipuliere, könnte ich doch ..."

    genau. Bloß wurde der Betreiber des manipulierenden DNS-Servers ja hochgenommen. Der Webserver wird jetzt von einer US-Behörde betrieben, die nach eigenen Angaben eben einen ganz normalen DNS-Server aufgesetzt hat, der sich eben nur in der Auflösung der einen Seite unterscheidet.

    Es ist also so, dass der Betreiber des DNS-Servers (derzeit das FBI) sogar gezielt mitgeholfen hat damit man seinen DNS-Dienst daran erkennt, dass er auf die Warnseite umleitet.

    In wie weit man denen jetzt trauen sollte ist eine ganz andere Frage.

    • kaskade
    • 11. Januar 2012 15:23 Uhr

    Die Unterscheidung in PC und Mac macht schon Sinn und zwar unabhängig vom Betriebssystem. Der Begriff PC wurde wesentlich von der Firma IBM ("IBM-PC") mitgeprägt, welche sehr früh Heimcomputer herausbrachte. Andere Firmen kopierten das Design, sodass sich der Begriff IBM-kompitabel durchsetzte. Die typischen PCs zeichneten sich (bis vor ein paar Jahren) durch Intel- bzw. AMD-Prozessoren aus, Macs liefen jedoch auf PowerPC-Prozessoren. Außerdem ist das Konzept unterschiedlich: PCs kann man frei anpassen, man kann z.B. einfach eine andere Grafikkarte einbauen, bei Macs ist das nicht so gedacht.
    Natürlich verwischen heute die Unterschiede: Apple liefert mittlerweile auch Intel-Prozessoren aus. Und Linux und BSD kann man schon seit eh und je sowieso auf PCs und auf Macs installieren :)

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • kaskade
    • 11. Januar 2012 15:24 Uhr

    Dieser Kommentar ist als Antwort auf #4 gedacht

    • mickz
    • 11. Januar 2012 17:46 Uhr

    schlicht und einfach PERSONAL COMPUTER.

    Schon lustig, was da so alles hinein interpretiert wird.........

    Seit vielen Jahren ist auch ein Mac-Rechner ein Intel-PC, nur die Software ist anders und man hat eine Art "Simlock" damit man mit seinem Apfel keine bösen fremden Dinge nutzen darf.

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, AFP, dpa
  • Schlagworte FBI | Bundespolizei | DNS | DNS-Server | Domain | IP-Adresse
Service