WCM Forum - Google warnt DNSChanger-Opfer

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Google warnt DNSChanger-Opfer (http://www.wcm.at/forum/showthread.php?t=244481)

Google warnt DNSChanger-Opfer

Zitat:

Google warnt seine Suchmaschinennutzer ab sofort, wenn sie mit Schädling DNSChanger infiziert sind und liefert im Falle der Fälle auch gleich einen Link zu einer Desinfektionsanleitung.

Die DNSChanger tauscht den auf dem infizierten System eingestellten DNS-Server gegen einen anderen aus, der für eine gewisse Zeit die DNS-Abfragen des Nutzers absichtlich mit falschen IPs beantwortet hat. Unter den IPs waren manipulierte Versionen der angesteuerten Seiten abrufbar, bei denen etwa die Werbeanzeigen ausgetauscht wurden.

Inzwischen hat das FBI die Kontrolle über die manipulierenden DNS-Server übernommen, dennoch sind nach wie vor etliche Rechner mit der Malware infiziert. Google rechnet damit, im Laufe einer Woche über 500.000 Nutzer auf eine Infektion aufmerksam machen zu müssen. Wie diese Schätzung zustande kommt, lässt das Unternehmen offen.

Damit diese Nutzer weiterhin auf das Internet zugreifen können, liefert die Server unter FBI-Kontrolle nun die korrekten IPs zurück. Allerdings wird die Behörde den Betrieb der Server voraussichtlich am 9. Juli dieses Jahres einstellen, da dann die richterliche Verfügung endet. Wer bis dahin nicht auf die Infektion seines System aufmerksam geworden ist und den eingestellten DNS-Server geändert hat, kann nicht länger wie gewohnt auf das Internet zugreifen.

Die Google-Aktion ist durchaus sinnvoll, zählt die Suchmaschine doch zu den meistbesuchten Internetseiten überhaupt. Die Wahrscheinlichkeit, dass ein Gros der betroffenen Nutzer bis zum 9. Juli der Suchmaschine noch einen Besuch abstattet, ist groß. Wollte man bislang überprüfen, ob das System einen der DNSChanger-Server nutzt, musste man selbst aktiv werden und etwa einen Online-Check bei dns-ok.de oder dnschanger.eu durchführen. Dort findet man ebenfalls Desinfektionsanleitungen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...r-1582621.html

Zitat:

DNSChanger steckt noch in tausenden deutschen Rechnern

Rund 20.000 IP-Adressen aus Deutschland nehmen derzeit täglich Kontakt mit einem der vom FBI betriebenen DNS-Server auf, die seit Ende vergangenen Jahres die Anfragen der DNSChanger-Opfer auffangen. Dies erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber heise Security. Zu Beginn der Übernahme waren es laut dem BSI täglich etwa 35.000 – nach einem halben Jahr haben also die meisten Opfer noch nicht bemerkt, dass DNSChanger ihre DNS-Einstellungen verbogen hat.

Das könnte am 9. Juli zu einem bösen Erwachen führen, denn an diesem Tag will das FBI die mit richterlichem Segen eingerichteten Ersatzserver abschalten. Dann können die betroffenen Nutzer praktisch nicht mehr auf das Internet zugreifen. Das betrifft unter Umständen sogar Geräte, die gar nicht direkt mit DNSChanger in Verbindung gekommen sind, da die Malware auch Router-Einstellungen verändern kann.

Will man prüfen, ob man betroffen ist, muss man selbst aktiv werden und etwa einen Online-Check bei dns-ok.de oder dnschanger.eu durchführen. Pläne, die betroffenen Nutzer auf eine Warnseite umzuleiten hat das BSI wegen technischer Bedenken derzeit nicht, wie BSI-Sprecher Tim Griese gegenüber heise Security erklärte: "Eine generelle Umleitung des DNS auf Warnseiten mittels eines HTTP-Proxy-Servers würde bedeuten, dass ab diesem Zeitpunkt diese Nutzer andere Dienste wie beispielsweise Mail und VOIP nicht mehr nutzen könnten."

Auch der Verband der deutschen Internetwirtschaft (eco) wiegelt auf unsere Anfrage hin ab: "Hierzu müssten Provider in die Pakete schauen, und Deep Paket Inspection (DPI) wird in Deutschland nicht betrieben", erklärte Thorsten Kraft, der das eco-Projekt Anti-Botnet-Beratungszentrum betreut. Für eine deutliche Reduzierung der infizierten Systeme dürfte Google sorgen: Seit gestern zeigt das Unternehmen den Nutzern seiner Suchmaschinen einen Warnhinweis, wenn sie den Übergangsserver des FBI nutzen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-1583699.html

Zitat:

Telekom warnt DNSChanger-Opfer

Die Telekom verschickt derzeit Briefe an Kunden, deren Rechner sich möglicherweise mit der Malware DNSChanger infiziert haben. In dem heise Security vorliegenden Schreiben wird der Kunde aufgefordert, die DNS-Einstellungen des Rechners zu kontrollieren und die kostenfreie Antivirensoftware DE-Cleaner von der Seite www.botfrei.de/telekom herunterzuladen. Auf der Seite findet man auch einen Verweis auf das "Telekom Sicherheitspaket" auf Basis von Norton 360, das mit 2,95 Euro im Monat zu Buche schlägt.

Mit der Aktion dürfte die Telekom ganz im Sinne ihrer Kunden handeln: Wer infiziert ist und nicht bis zum 9. Juli dieses Jahres handelt, kann praktisch nicht mehr auf das Internet zugreifen. An diesem Tag werden die vom FBI übergangsweise bereitgestellten DNS-Server voraussichtlich abgeschaltet.

Nach Angaben der Telekom stammen die Daten über die betroffenen Kunden vom Verband der deutschen Internetwirtschaft (eco). Der eco-Verband bezieht die Zugriffslisten der Übergangsserver direkt vom FBI und verteilt sie nach Angaben der Telekom anschließend an die jeweiligen Betreiber. Damit die Telekom die Kunden zuordnen kann, müssen die Daten frisch sein: "Da wir aktuell die IP Adressen für 7 Tage speichern können wir so über unser Abuse-Team die betroffenen Kunden identifizieren und anschreiben", erklärte die Telekom gegenüber heise Security.

Nach Angaben des BSI greifen noch immer täglich rund 20.000 IP-Adressen aus Deutschland auf die Server zu. Diese Anfragen würden nach der Abschaltung ins Leere laufen. Durch einen Besuch der Seite dns-ok.de kann man prüfen, ob die eigene IP darunter ist. (rei)

Quelle: http://www.heise.de/newsticker/meldu...r-1585930.html