Malware: Der DNS-Changer-Trojaner

Anfang Januar 2012 tauchte eine neue Malware namens DNS-Changer in den unendlichen Weiten des Internets auf, die auf den infizierten Systemen die DNS-Einstellungen manipuliert, so dass der Benutzer auf falsche Webseiten geführt werden kann (DNS Spoofing). Der DNS-Changer weist dem befallenen System einen feindlichen DNS-Server zu, der bei einer DNS-Anfrage für einen bestimmten Hostnamen dann eine falsche IP-Adresse zurückschickt.

DNS-Spoofing

Das Ganze wird DNS-Spoofing bezeichnet. Ob das eigene System von DNS-Changer befallen ist, kann man auf folgender Webseite überprüfen: http://dns-ok.de. Ist die Meldung grün, dann ist das System nicht von DNS-Changer befallen. Ist sie jedoch rot, dann sollte man schnellstens handeln, da unter anderem die feindlichen DNS-Server bald abgeschaltet werden, so dass Betroffene nicht mehr auf normalem Weg ins Internet kommen.

Update: 12.09.2012:

Die Webseite http://dns-ok.de/ wurde eingestellt und ist nicht mehr verfügbar!

Wie funktioniert DNS-Changer?

Wenn man eine Webseite wie zum Beispiel google.de aufruft, dann wird nach der Eingabe im Webbrowser im Hintergrund ein DNS-Server nach der IP-Adresse für den Server unter google.de gefragt. Das Wort google.de bezeichnet man als Hostnamen oder auch Domainnamen. Dieser wird verwendet, damit man sich die Adresse der Webseite besser merken kann. Dieser Name muss aber am Ende wieder in eine IP-Adresse aufgelöst werden, so dass man die Webseite auch erreichen kann.

Und genau hier kommt ein DNS-Server ins Spiel. Dieser ist nämlich für die Auflösung von Domainnamen ("Hostnamen") in IP-Adressen zuständig. (Weitere Informationen über die Technik des Domain-Name-System's im Artikel: »DNS: Das Domain-Name-System (einfach erklärt)«)

Die DNS-Changer-Malware ändert nun auf befallenen Systemen die DNS-Einstellungen und weist dem infizierten Rechner einen neuen DNS-Server zu, der von den Angreifern kontrolliert wird.

Wenn ein Angreifer mittels einer Malware nun die DNS-Einstellungen manipuliert und dem Rechner einen anderen DNS-Server zuweist, der vom Angreifer kontrolliert wird, dann kann der Angreifer dies zu seinen Gunsten missbrauchen. Nehmen wir an, der Angreifer hätte es auf PayPal-Konten abgesehen:

Wenn man infiziert ist und nun paypal.com im Browser aufruft, dann schickt der infizierte Rechner eine DNS-Anfrage an den (bereits vorher zugewiesenen) falschen DNS-Server. Da der Angreifer es aber auf PayPal-Konten abgesehen hat, schickt der falsche DNS-Server eine ganz andere IP-Adresse für PayPal.com zurück. Im Endeffekt landet man dann logischerweise auf dem Server des Angreifers, auf dem eine Phishing-Seite für den PayPal-Login installiert ist.

Da in der Adresszeile des Browsers aber immer noch der korrekte Domainname PayPal.com steht, fällt einem diese Fälschung möglicherweise gar nicht auf und man gibt dort wie immer seine E-Mail-Adresse und Passwort ein, um sich einzuloggen. Und schon hat der Angreifer die Login-Informationen für das PayPal-Konto und kann damit unter Umständen Schindluder treiben.

Abschaltung der DNS-Server am 09. Juli 2012

Die US-Bundespolizei Federal Bureau of Investigation (FBI) hat die Täter in Osteuropa bereits gefasst und die feindlichen DNS-Server unter ihre Kontrolle gebracht. Eigentlich sollten die feindlichen DNS-Server schon am 08. März 2012 abgeschaltet werden, doch das FBI verschob diese Angelegenheit auf den 09. Juli 2012 und gab den Betroffenen noch weitere vier Monate Zeit, um ihre Rechner zu bereinigen.

Nach einer Abschaltung der Server kommen Betroffene nicht mehr auf normalem Wege ins Internet, da keine Hostnamen mehr aufgelöst werden können. Betroffene sollten deshalb ihre DNS-Einstellungen überprüfen und ihre DNS-Serveradresse vom DHCP-Server automatisch beziehen lassen.

Da manche DHCP-Server (Router), wenn kein Passwort gesetzt wurde, ebenfalls betroffen sein könnten, sollte man diese auch noch durchchecken. Ansonsten empfehle ich noch, dass man sich die IP-Adresse vom Google-Public-DNS-Server merkt. Das ist ein öffentlicher DNS-Server von Google, der unter der IP-Adresse 8.8.8.8 erreichbar ist. Notfalls kann man den zur Auflösung von Domainnamen benutzen.

Feindliche DNS-Serveradressen

Hier noch eine Liste von IP-Adressen, unter denen die feindlichen DNS-Server erreichbar sind. Solltet ihr solche IP-Adressen aus diesen Rängen in euren DNS-Einstellungen wiederfinden, dann ist euer System höchstwahrscheinlich von DNS-Changer kompromittiert.

  • IP-Rang: 85.255.112.0 bis 85.255.127.255
  • IP-Rang: 67.210.0.0 bis 67.210.15.255
  • IP-Rang: 93.188.160.0 bis 93.188.167.255
  • IP-Rang: 77.67.83.0 bis 77.67.83.255
  • IP-Rang: 213.109.64.0 bis 213.109.79.255
  • IP-Rang: 64.28.176.0 bis 64.28.191.255

Weiterführende Links

  1. Ratgeber---Forum.de • DNS-Changer-Schnelltest
  2. SemperVideo • DNS-Changer (Theorie)
  3. SemperVideo • DNS-Changer (Praxis)

Hinweis:
Dies ist ein älterer Artikel von meinem alten Blog. Die Kommentare zu diesem Artikel werden (falls vorhanden) später noch hinzugefügt.

Der Autor

Unter dem Namen »TheBlackPhantom« alias »BlackY« veröffentlichte ich auf meinem alten Blog, BlackPhantom.DE, in der Zeit von 2011 bis 2015 leidenschaftlich Beiträge über Computer, Internet, Sicherheit und Malware. Während der BlackPhantom-Zeit war ich noch grün hinter den Ohren und lernte viel dazu. Mehr Infos vielleicht in Zukunft...