Behörden warnen vor Schadsoftware

Christoph · 11.01.2012, 20:15

Zitat:

"DNS-Changer" manipuliert Netzwerkeinstellungen: Behörden fordern Internetnutzer auf, ihre Computer auf einen weit verbreiteten Virus zu überprüfen.
Nach der Infektion unzähliger Computer mit einer Schadsoftware empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) allen Nutzern eine Überprüfung ihrer Rechner. Bei dem Selbsttest sollen manipulierte Netzwerkeinstellungen aufgespürt werden.
Die US-Bundespolizei FBI hatte im vergangenen November bei einer Razzia gegen Computerkriminelle in New York mehr als hundert Server beschlagnahmt, über die ein sogenanntes Botnet von manipulierten PCs in aller Welt gesteuert wurde. In Deutschland seien täglich 33.000 Computer von dem Virus betroffen.
Selbsttest über Webseite möglich
Bei dem Schadprogramm "DNS-Changer", mit dem die infizierten Rechner befallen sind, handelt es sich um eine Software, die die korrekte Übersetzung von Internet-Adressen verhindert. Das ist eine Kernfunktion: Damit ein Nutzer eine Webseite erreichen kann, wird die Internet-Adresse, die man in einen Browser eintippt, im Hintergrund in die lange Zahlenfolge einer IP-Adresse umgewandelt. Diese Aufgabe wird von sogenannten Domain Name Servern (DNS) erledigt.
Um sicherzustellen, dass vom eigenen Rechner nicht auf einen manipulierten Domain Name Server verwiesen wird, sollten die Anwender beim Selbsttest die Webseite www.dns-ok.de aufrufen. Entweder erhält er eine grüne OK-Meldung - und muss nichts weiter unternehmen. Bei einer roten Statusanzeige sollte er die angezeigten Anleitungen befolgen, um richtigen Systemeinstellungen wiederherzustellen und gegebenenfalls Schadsoftware zu entfernen.
Am 8. März erfolgt die Abschaltung
Das Schadprogramm auf einem infizierten Rechner sorgte dafür, dass er in bestimmten Fällen von den Betrügern betriebene gefälschte DNS-Server in New York und Chicago ansteuerte. Dieser gab dann statt der korrekten Internet-Adresse eine ganz andere aus. So landeten betroffene Nutzer, die zur Online-Videothek Netflix oder Apples iTunes-Seite wollten, auf den Angeboten, die die Online-Betrüger bestimmt hatten.

Außerdem gelang es den Online-Kriminellen laut Anklage, Banner-Werbung bei der Anzeige von Webseiten auszutauschen. Der Trojaner schützte sich selbst dadurch, dass sie Antiviren-Programme blockierte. Bei einer Verurteilung drohen den Männern im Alter zwischen 26 und 33 Jahren im Höchstfall mehrere Jahrzehnte Haft.
Das BSI empfiehlt Nutzern, ihren Rechner vor dem 8. März 2012 zu überprüfen. Zwar seien die Server vom FBI mittlerweile ersetzt, diese werden jedoch Anfang März abgeschaltet. Nutzer, deren Computer dann noch mit dem Virus infiziert sind, können ohne die empfohlene Änderung der Systemeinstellungen nicht mehr auf das Internet zugreifen.

Quelle: http://www.ftd.de/it-medien/it-telek.../60153218.html

Christoph · 12.06.2012, 20:09

Zitat:

In vier Wochen werden DNS-Changer Server abgeschaltet

Die sauberen Ersatz-Server für mit dem Schädling DNS-Changer verseuchte Rechner werden am 9. Juli abgeschaltet. Rechner, die bis dahin noch immer nicht bereinigt sind, werden dann praktisch nicht mehr ins Web kommen. Mehrere 100.000 Computer sind nach wie vor betroffen.

Im November 2011 hat die US-Bundespolizei FBI in Zusammenarbeit mit Ermittlungsbehörden anderer Länder im Rahmen der "Operation Ghost Click" das Bot-Netz "DNS-Changer" ausgehoben. Mehrere Personen wurden verhaftet, die Server, die das Bot-Netz steuerten, wurden beschlagnahmt. Etwa vier Millionen Rechner waren zu Spitzenzeiten mit dem Schädling DNS-Changer infiziert.

Der Schädling hat die DNS-Einstellungen der Computer manipuliert, sodass die Namensauflösung über von den Online-Kriminellen kontrollierte Server erfolgte. So konnten die Täter die Aufrufe beliebiger Websites auf andere Seiten umleiten. Diese manipulierenden Name-Server hat das FBI vom Netz genommen und durch saubere Systeme ersetzt. Ohne diese Ersatzsysteme können infizierte Rechner keine Web-Seiten mehr aufrufen.

Doch diese Systeme werden, nach mehreren Fristverlängerungen, am 9. Juli endgültig abgeschaltet. Die DNS Changer Working Group (DCWG) schätzt, dass noch immer 350.000 Rechner infiziert sind. In Deutschland sind es nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) etwa 20.000. Werden sie nicht bis zum 9. Juli bereinigt, laufen DNS-Anfragen ins Leere und es können praktisch keine Internet-Dienste mehr genutzt werden.

Ob der eigene Rechner betroffen ist, lässt sich durch einen Aufruf der Website dns-ok.de feststellen. Für die Erkennung wird lediglich ausgenutzt, dass mit DNS-Changer infizierte Rechner andere DNS-Server nach der IP-Adresse des Web-Servers fragen als unverseuchte. Abhängig davon wird eine andere Seite angezeigt. Es wird keine Software installiert und es werden keine individuellen Daten gespeichert. Benutzer verseuchter Computer erhalten Tipps zur Behebung des Problems, auch für Mac-Systeme.

Internet-Provider und Online-Dienste warnen Betroffene inzwischen ebenfalls. So zeigen etwa Google und Facebook entsprechende Warnmeldungen an, falls ein infizierter PC auf ihre Seiten kommt. Die Deutsche Telekom verschickt sogar Briefe an betroffene Kunden.

Quelle: http://www.pc-magazin.de/news/in-vie...91798,185.html

Christoph · 07.07.2012, 10:55

Zitat:

Rechnern mit DNS-Changer droht Netzblockade

Für tausende Internetnutzer könnte der Montag mit einer unliebsamen Überraschung beginnen: Wenn der Rechner mit der Schad-Software DNS-Changer infiziert ist, wird der Zugang zum Netz stark eingeschränkt sein. Wer sein Gerät noch nicht überprüft hat, sollte das jetzt schleunigst tun. Weltweit sind nach Einschätzung von US-Sicherheitsexperten noch rund 300.000 Windows- und Mac-Rechner von dem seit Monaten bekannten Schädling befallen (Hintergründe bei heise security).

Nutzer können über die Websites www.dns-ok.de oder dnschanger.eu ihr Gerät selbst überprüfen. Wer die Adresse mit einem infizierten Computer aufruft, erhält eine Warnmeldung und Empfehlungen zur Entfernung der Schad-Software. Nach dem Stichtag können Webseiten auf einem infizierten Rechner nur noch geöffnet werden, wenn direkt die IP-Adresse eingegeben wird, also zum Beispiel 217.79.215.248 für bundesregierung.de.

Mit dem Schädling hatten Kriminelle die Netzwerkkonfiguration von Computern und Routern so manipuliert, dass die Anfragen der Nutzer unbemerkt auf andere Seiten umgelenkt wurden – etwa um Kreditkarten-Daten abzufischen. Die US-Bundespolizei FBI zerschlug das Betrugssystem und richtete übergangsweise selbst Server ein, an die befallene Rechner ihre Anfragen schicken konnten. Diese werden nun abgeschaltet. (dpa) / (se)

Quelle: http://www.heise.de/newsticker/meldu...e-1634132.html

Christoph · 09.07.2012, 20:18

Zitat:

FBI legt vermutlich 15.000 deutsche Internetanschlüsse lahm

Am heutigen Montagmorgen gegen 6 Uhr deutscher Zeit hat das FBI die DNS-Server, welche die Anfragen von DNSChanger-Opfern abgefangen haben, wie angekündigt abgeschaltet. Zu diesem Zeitpunkt haben vermutlich noch rund 15.000 Nutzer mit IP-Adressen aus Deutschland (unique IPs) auf die Server zugegriffen, wie aus einem anonym veröffentlichten Auszug aus den Log-Files hervorgeht, der nach Informationen von heise Security von vergangenem Samstag stammt. International gab es Samstag demnach noch Zugriffe von rund 250.000 unterschiedlichen IP-Adressen.

Es ist davon auszugehen, dass sich seitdem wenig an den Zahlen geändert hat; schließlich konnten die Opfer bis heute wie gewohnt auf das Internet zugreifen. Im ersten halben Jahr nach der Zerschlagung des DNSChanger-Botnets bemerkte gerade mal rund ein Drittel der ursprünglich rund 35.000 betroffenen Nutzer aus Deutschland die Infektion. Unter anderem wurden diese Nutzer direkt von ihren Internetprovidern angeschrieben, darüber hinaus hat Google einen Warnhinweis angezeigt.

Wer in seinem Umfeld von plötzlichen Internetausfällen hört, sollte auf den möglichen Auslöser aufmerksam machen und auf den Assistenten des Anti-Botnet Beratungszentrums verweisen, mit dessen Hilfe man die Internetkonfiguration wieder reparieren kann. Die einfachste Maßnahme ist, auf betroffenen Systemen den von Google betriebenen DNS-Server 8.8.8.8 einzustellen. DNSChanger kann laut F-Secure die Netzwerkeinstellungen von Windows, Mac OS manipulieren sowie die Router-Konfigurationen von Geräten der folgenden Hersteller: A-Link, ASUS, D-Link, Linksys, Netgear und SMC.

Der Trojaner DNSChanger hat bis Ende 2011 die DNS-Einstellungen der Opfer manipuliert, wodurch die gestellten DNS-Anfragen fortan von den DNS-Servern der Abzocker beantwortet wurden. Die manipulierten Server beantworteten etwa die Anfrage nach Google.com mit einer falschen IP, unter der eine mit zusätzlicher Werbung bestückte Version der Suchmaschine angeboten wurde. Das Geld für die Werbeeinnahmen floss in die Taschen der Betrüger. Darüber hinaus nutzten sie DNSChanger unter anderem auch für Klickbetrug und den Verkauf nutzloser Antivirensoftware.

Update vom 09.07.2012: Die Hilfeseite des Anti-Botnetz Beratungszentrums ist von betroffenen Systemen über http://87.106.161.150 erreichbar. Statt wie oben beschrieben den Google-DNS-Server 8.8.8.8 einzutragen, kann man auch die automatische Konfiguration des DNS-Servers aktivieren; unter Windows heißt dieser Menüpunkt "DNS-Serveradresse automatisch beziehen". In diesem Fall sollte man unbedingt auch den im Router eingestellten DNS-Server überprüfen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...m-1634760.html
und
http://futurezone.at/digitallife/100...-blieb-aus.php

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)