Hacker manipulieren DNS-Konfiguration
- Details
- Veröffentlicht am Donnerstag, 12. Januar 2012 20:38
Die Schadsoftware "DNS-Changer" sorgt aktuell für Unruhe bei Internet-Nutzern weltweit. Die Software sorgt dafür, dass Nutzer nur vermeintlich auf der von ihnen angestrebten Seite landen. Der Besuch einer eigens dafür eingerichteten Homepage schafft Klarheit, ob Ihr Computer auch betroffen ist und bietet Möglichkeiten zur Entfernung der Schadsoftware.
Der Trojaner funktioniert über ein Botnet. Ein Botnet ist ein Zusammenschluss mehrerer, ferngesteuerter Computer, welche als Einheit fungieren können. Oftmals werden derartige Zusammenschaltungen für kriminelle Zwecke missbraucht, zum Beispiel zum Lahmlegen von Servern (Anfragen-Flut, welche zum Zusammenbruch führt) oder zum Versand von Spam-Mails.
Auf der Webseite "DNS-OK.de" kann man einfach und kostenlos seinen Rechner überprüfen lassen. Die Seite ist eine Kooperation zwischen dem Bundesamt für Sicherheit in der Informationstechnik und der Deutschen Telekom. Beim Besuch der Seite wird lediglich überprüft, ob die Schadsoftware Änderungen an den Netzeinstellungen des Browsers vorgenommen hat. Andere eventuell auf dem Computer befindliche Sicherheitsrisiken werden nicht erkannt und behandelt.
Wichtig ist, dass zum Zeitpunkt der Überprüfung keine Proxy-Server verwendet werden. Grund hierfür ist, dass die sogenannte Namensauflösung durch diese Schnittstellen und nicht durch den Rechner selbst durchgeführt wird. Somit kann nicht zweifelsfrei überprüft werden, ob die DNS-Konfiguration auf dem Computer manipuliert wurde oder nicht.
Da die Server, auf welche der Trojaner bei infizierten Computern umleitet, am 8. März abgeschaltet werden, sollten Internet-Nutzer die Testseite bis spätestens dahin besucht haben. Andernfalls dürfte es mit dem infizierten Computer nicht mehr möglich sein, eine Verbindung zum Internet aufzubauen. In diesem Fall müsste das System neu aufgesetzt werden. Grund hierfür ist, dass der Trojaner in das Domain-Name-System (kurz: DNS) eingreift, welches benutzerfreundliche Internet-Adressen (zum Beispiel "murgas.de") in zehnstellige IP-Adressen umwandelt. Da die Server der Hacker ab dem 8. März nicht mehr erreichbar sind, besteht folglich auch kein Zugang zum Internet über diese Server mehr.