Die jüngsten Nachrichten auf allen bekannten Kanälen berichten von einem akuten Virenbefall auf weltweit betroffenen PCs.

Eine groß angelegte Aktion, unterstützt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), dem BKA und der Telekom, soll hierbei einen möglichen Befall des eigenen Rechners anzeigen. Das BSI empfielt jedem Nutzer eines Computers, ob sie von der Schadsoftware “DNS-Changer” betroffen sind. Erstaunlicherweise sind diesmal sogar Nutzer von PC- und auch Mac-Systemen betroffen. Die Schadsoftware manipulierte hierbei die Netzwerkeinstellungen der befallenen Systeme und teilweise auch die Einstellungen angeschlossener Router.

Das Problem ist den Behörden allerdings bereits seit dem November des vergangenen Jahres bekannt. Zu diesem Zeitpunkt hatte das FBI in Zusammenarbeit mit den estnischen Behörden die Betreiber eines der größten Bot-Netze verhaften können und in diesem Zusammenhang mehr als hundert Server beschlagnahmt. Eine weitere Gefahr für den User besteht im Zusammenhang mit diesem Bot-Netz nun zwar nicht mehr, allerdings werden die verseuchten Rechner noch immer auf bestimmte Serveradressen umgelenkt. Das FBI hat daher die betroffenen IP-Adressräume auf extra hierfür eingerichtete Server verlinkt um somit den betroffenen Usern die Möglichkeit zu geben, ihre Systeme zu prüfen und bereinigen. Diese Server werden allerdings im März abgeschaltet. Bis dahin sollten daher alle Systeme bereinigt sein.

Schlimmstenfalls können ab diesem Zeitpunkt betroffene Rechner nicht mehr die sogenannten DNS-Einträge auflösen und somit keine Inhalte im Netz mehr erreichen.

Über die Webseite  www.dns-ok.de , betrieben von der Telekom, kann jeder Nutzer prüfen, ob sein eigener PC vom Trojaner “DNS-Changer” betroffen ist. Im Falle einer positiven Untersuchung wird eine Hinweisseite mit einem roten Balken dargestellt und die Anleitung zur Beseitigung angegeben.

Durch einen grünen Balken wird dargestellt, dass der PC nicht von diesem einen Trojaner befallen ist.

An dieser Stelle ein wichtiger Hinweis: Die Webseite scannt nicht das eigene System auf Befall, sondern es wird lediglich getestet, über welchen DNS-Server die Seite aufgerufen wurde. Falls der eigene PC Opfer des Trojaners ist, kann wirklich nur dieses Fehlverhalten hierdurch erkannt werden.

Um nun aber den ganzen Paranoikern und Verschwörungstheoretikern den Boden zu entziehen, die jegliche Behörde unter Generalverdacht stellen, ihre Mitbürger auszuspähen  (wie z.B. das BSI mit dem Bundestrojaner), wende ich mich nun einmal einer Möglichkeit zu, die eigenen Einstellungen ohne Aufruf besagter Webseite  zu Untersuchen.

Daher zunächst zum besseren Verständnis ein kurzer Ausflug in die Arbeitsweise des Internets und dem DNS in einer stark vereinfachten  und leicht verständlichen Darstellung:

Man kann das DNS (Domain Name System) als eine Art Adressbuch des Internets sehen. Das Internet “spricht” keine menschliche Sprache, sondern es kommuniziert nur in Form von Zahlenreihen. Damit ein Server die für Menschen lesbare Webseite (z.B. www.guidohartmann.de) verstehen kann, muss zunächst eine Art Dolmetscher hinzugezogen werden. Ein solcher Dolmetscher ist der DNS-Server, der nun diesen Webseitennamen in eine Zahlenreihe, die sogenannte IP-Adresse übersetzen kann. Nach Eingabe der Adresse wird also zunächst ein DNS-Server aufgerufen, der diesen Namen in die IP-Adresse übersetzt (in unserem Falle die IP-Adresse  82.165.68.193)
Anders gesagt, hinter dem Alias-Namen “www.guidohartmann.de” verbirgt sich die Serveradresse 82.165.68.193.
(Und für die ganz schlauen, das DNS ist nicht ein einzelner Server, sondern eine verteilte Datenbank, die sich über mehrere Hosts erstreckt…)

Nehmen wir nun einmal an, dass unser System von einem Virus oder Trojaner befallen wurde, der sich genau an dieser Stelle dazwischenhängt, so könnte die Schadsoftware die Browseranfrage zum Dolmetschen nicht an den normalen DNS-Server senden lassen, sondern biegt die Anfrage auf einen gehackten DNS-Server um.
Dieser DNS funkt nun eine falsche IP-Adresse zurück und unser Browser surft zu der kompromittierten Webseite in dem Glauben, die Adresse www.guidohartmann.de vor sich zu haben.
Auf diese Weise arbeitet der aktuell genannte Trojaner DNS-Changer. Somit muss also an unserem System ein fehlerhafter Eintrag existieren, der unsere DNS-Anfragen umleitet.

Nun wurde glücklicherweise bei den Ermittlungen des FBI bekannt, welche IP-Zahlenräume von diesem Angriff betroffen sind.
Wir brauchen daher lediglich zu prüfen, ob unsere DNS-Einstellungen zu einem dieser Adressräume geleitet werden.

Die betroffenen IP-Räume lauten:
85.255.112.0 bis 85.255.127.255
67.210.0.0 bis 67.210.15.255
93.188.160.0 bis 93.188.167.255
77.67.83.0 bis 77.67.83.255
213.109.64.0 bis 213.109.79.255
64.28.176.0 bis 64.28.191.255

Da nun verschiedene Betriebssysteme betroffen sein können und auch eine große Anzahl verschiedener Router im Einsatz sind, kann ich hier nicht alle Wege beschreiben, wie der Anwender seine Einstellungen finden kann. Aber am Beispiel von Windows 7 lässt sich der Weg nachvollziehen.

Zunächst öffnen wir die Kommandoeingabe-Ebene und schauen uns die Netzwerkeinstellungen an.

Hierzu klicken wir auf den Start-Button und geben dann in das Eingabefeld ganz unten einfach “cmd.exe” ein und drücken die Enter-Taste (Return).

Im nun geöffneten Fenster geben wir den Befehl “ipconfig /all” ein und bestätigen die Eingabe mit “Enter”
Hier sehen wir uns nun die Einstellungen des DNS-Servers an.

In unserem Beispiel sehen wir, dass der DNS auf einen verdächtigen IP-Adressraum verweist. Hier kann man davon ausgehen, dass das System befallen ist. In diesem Fall sollten technisch nicht so versierte User vorsichtshalber einen Experten beauftragen, das System genauer zu untersuchen.

Aber in jedem Fall ist das oberste Gebot: Keine Panik, immer mit Ruhe an das Problem gehen. Ein solcher Trojaner ist, einmal erkannt, keine große Gefahr.

Bei Heimnetzwerken, die über einen Router in das Netz gehen, sollten ebenfalls die Routereinstellungen geprüft werden. Auch wenn die DNS-Einstellungen des PCs  keine Auffälligkeiten zeigen, kann immer noch die Routereinstellunge befallen sein. Der DNS-Changer schafft es auch, bei nicht abgesicherten Routern die dortigen Einstellungen zu verändern.

Das FBI hat, kurz nachdem die Systeme beschlagnahmt wurden, auch eine ausführliche Anleitung zu diesem Thema herausgegeben.

Diese Anleitung steht als PDF-Datei zum Download über das FBI zur Verfügung.

http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

(Alle Angaben ohne Gewähr)