Gefahr DNS-Changer: Was jetzt zu tun ist

Das BSI warnt vor dem gefährlichen Trojaner DNS-Changer, der derzeit im Web kursiert. Der Schädling modifiziert die DNS-Einstellungen des Rechners, so dass alle DNS-Anfragen über Server geleitet werden, die von Kriminellen aufgesetzt wurden und falsche Antworten geben.

Diese Falschantworten lassen sich für zahlreiche Angriffe missbrauchen. Das Spektrum reicht von unerwünschten Werbeeinblendungen bis hin zu Phishing-Attacken, die nur schwer zu entdecken sind. Bei einem Phishing-Angriff, der mittels manipulierten DNS-Servern ausgeführt wird, ist in der URL-Zeile die echte URL der Bank zu sehen, etwa http://www.meine-bank.de. Ohne falsche DNS-Antworten sehen aufmerksame Nutzer im Browser eine ähnliche, aber andere URL, etwa http://www.meine-bank.de.vu.

Aber zunächst einmal darf Entwarnung gegeben werden. Die Kriminellen wurden bereits im November vom FBI verhaftet. Allerdings stand die US-Bundespolizei vor dem Dilemma, dass sie die falschen Server nicht einfach abschalten konnte. Das hätte dazu geführt, dass infizierte Rechner ab sofort keine Namensauflösung mehr zur Verfügung hätten. Die Eingabe von www.google.de im Browser hätte dazu geführt, dass kein Server gefunden worden wäre.

Das FBI hat daher entschieden, die betrügerischen Server durch eigene zu ersetzen, die korrekte Antworten geben. Allerdings will das FBI nicht auf Dauer zum kostenlosen Anbieter von DNS-Diensten werden. Daher werden die Server am 8. März abgeschaltet. Bis dahin müssen betroffene Nutzer ihre DNS-Konfiguration berichtigen.

In den Medien ist meist zu lesen, dass man ansonsten ab dem 8. März vom Internet getrennt ist. Das ist technisch nicht ganz korrekt, die Verbindung besteht weiterhin, aber es können keine Domainnamen mehr aufgelöst werden, was in der Konsequenz gleichbedeutend mit der vollständigen Trennung vom Internet ist.

Auch nach dem 8. März ist eine Beseitigung des Problems möglich. Allerdings wird es schwer, sich ohne funktionierende Internetverbindung eine Anleitung zu beschaffen und die notwendigen Tools herunterzuladen. Es gilt daher, bereits jetzt zu handeln.


Die Website www.dns-ok.de warnt vor einer manipulierten DNS-Konfiguration, Screenshot: ZDNet.

Zunächst einmal sollte man überprüfen, ob man von dem Problem betroffen ist. Dazu haben BSI, die Deutsche Telekom und das Bundeskriminalamt die Website www.dns-ok.de bereitgestellt. Wer einen grünen Balken sieht, dessen DNS-Konfiguration wurde nicht manipuliert – jedenfalls nicht so, dass er auf den falschen DNS-Servern der jüngst festgenommenen Cyberkriminellen landet. Weitere Manipulationen, die von anderen Schädlingen stammen, werden von diesem Test nicht erfasst.

So wird man die Malware wieder los

Eine Beseitigung erfolgt am besten in drei Schritten

  1. Entfernung des Schädlings

  2. Überprüfung und Berichtigung der DNS-Konfiguration am eigenen Rechner

  3. Überprüfung und Berichtigung der DNS-Konfiguration am NAT-Router

Die Entfernung der Malware alleine reicht nicht aus. Hat diese einmal die DNS-Konfiguration auf dem Rechner oder dem NAT-Router manipuliert, bleibt das Problem bestehen, auch wenn der Rechner eigentlich wieder “sauber” ist.

Der Schädling selbst besteht aus meist aus dem Windows-Rootkit TDDS/TDL4. Das wirft das Problem auf, dass er von einer Antiviren-Software, die auf auf dem befallenen Betriebssystem läuft, nicht mehr erkannt werden kann. Daher muss der Rechner mit einer Rettungs-CD gestartet werden. Unter Mac OS X reicht es aus, eines der angebotenen Tools laufen zu lassen. Das DNSChanger Removal Tool für Mac ist kostenlos.

Unter Windows empfiehlt das BSI zunächst eins von drei angebotenen DE-Cleaner-Tools zu verwenden. silicon.de empfiehlt die Tools von Kaspersky oder Avira. Die Version von Symantec (Norton) meldet häufig Fehlalarme.

Das Rootkit kann weitere Schadsoftware nachladen, die insbesondere zum Ausspionieren des Nutzers, etwa von Passwörtern, dient. Daher sollte man anschließend eine spezielle Rettungs-CDs einsetzen, die von Avira stammt. Falls diese Rettungs-CD Alarm schlägt, sollten Nutzer zur Sicherheit alle Passwörter auf dem lokalen Rechner und im Internet ändern.

Nach dem Neustart des Rechners sollte die DNS-Konfiguration wieder in Ordnung sein. Das überprüft man am besten, indem man erneut die Website www.dns-ok.de aufruft. Erscheint nach wie vor ein roter Balken, muss die DNS-Konfiguration von Hand in Ordnung gebracht werden. Anleitungen dazu gibt es für Windows XP, Vista und 7 sowie für Mac OS X.

Anleitungen des BSI sind unvollständig


Wer mehrere Netzwerkverbindungen besitzt, etwa per Kabel und WLAN, muss seine Konfiguration für jedes Interface berichtigen.

Die Anleitungen sind recht ausführlich. Sie gehen allerdings nicht darauf ein, dass die DNS-Konfiguration für jedes Netzwerk-Interface inklusive WLAN, VPN-Verbindungen und UMTS-Sticks einzeln repariert werden muss. Auf einem Laptop hat man meist mindestens zwei Netzwerk-Interfaces für die Ethernet-Karte und das WLAN-Verbindung.

Wer nur die Ethernetkarte (unter Windows meist “LAN-Verbindung” benannt) in Ordnung bringt, bekommt Probleme, wenn er das nächste Mal seine WLAN-Karte (Drahtlosnetzwerkverbindung beziehungsweise AirPort bei Mac-Rechnern) oder seinen UMTS-Stick benutzt.

NAT-Router können auch betroffen sein

Das vom eco und BSI betriebene Portal www.botfrei.de weist darauf hin, dass einige Schädlinge nicht nur den lokalen Rechner, sondern auch den NAT-Router infizieren. In einer typischen SOHO- oder SME-Umgebung dient der NAT-Router meist als DNS-Proxy. Die Rechner im Netzwerk stellen DNS-Anfragen an den NAT-Router, der diese an die Server des Internet-Providers weiterleitet.

Ist die DNS-Konfiguration des NAT-Routers manipuliert, lässt sich auf dem eigenen Rechner nichts Verdächtiges ermitteln. Auch eine spezielle Rettungs-CD findet kein Problem. Trotzdem wird ab dem 8. März faktisch kein Internetzugang mehr möglich sein.

Meist werden Manipulationen am NAT-Router dadurch möglich, dass Nutzer für das Webinterface des Routers kein Passwort setzen oder das vom Hersteller vorgegebene Passwort nicht ändern. Wer kein eigenes Passwort gesetzt hat, sollte seinen NAT-Router testen. Wenn am eigenen Rechner kein Problem mehr festzustellen ist, aber die Website www.dns-ok.de weiterhin einen roten Balken zeigt, dann ist der NAT-Router höchstwahrscheinlich betroffen.

Als allgemeine Anleitung kann hier gegeben werden, dass man den Router auf Werkseinstellungen zurücksetzen sollte. Vorher benötigt man aber unbedingt wieder die Zugangsdaten des Providers, da man erneut eingeben muss. Je nach Erfahrung des Nutzers ist es ferner ratsam, die Installationsanleitung zur Hand zu haben. Wenn der Router neu eingerichtet ist, sollte man seinen Rechner neu starten und den DNS-Test erneut ausführen.

Silicon-Redaktion

View Comments

  • DNS - Malware / Na toll ...
    Dank dieser Anweisung werden es sicher auch etwas weniger begabte Netzwerkadministratoren schaffen, ihren PC wieder sauber zu bekommen - und auch die meisten anderen PC-Freaks werden dies wohl hinkriegen.

    Was ist bitte mit dem Rest der Bevölkerung, etwa mit der Kindergärtnerin oder dem pensionierten Pfarrer ? Wenn sie nicht zufällig einen hilfsbereiten PC-Freak im Verwandten- oder Freundeskreis haben, dann hängen sie doch irgendwie am Fliegenfänger. Wenn eine Technologie von der gesamten Bevölkerung genutzt werden soll, dann muß sie simpel und robust und für jeden Bürger verständlich sein. Bei den Infrastrukturen für Strom und Wasser ist das auch so, beim Internet aber sicher nicht. Hier besteht ein großes Delta, und die Industrie sollte sich endlich darum kümmern dieses zu schließen - anstatt immer weiteren Schnickschack auf den Markt zu werfen, der alles noch mehr kompliziert ...

  • Die Rufer in der Wüste
    Ich kann der Meinung von GSTZ nur beipflichten. Seit Jahrzehnten warnen IT-Sicherheitsexperten immer wieder vor den schwach oder gar nicht gesicherten Basisprotokollen im Netzwerkbereich. Diese wurden bei der Erfindung des Internets (damals noch ARPA-Net) von Technikern und Wissenschaftlern für genau diesen Personenkreis entwickelt. Sicherheit gegen Manipulation stand damals nicht im Pflichtenheft, lediglich Ausfallsicherheit durch Redundanz war eines der Ziele.

    Traurigerweise hat sich das auch nicht geändert, als sich das Internet mehr und mehr kommerzialisierte und sich "dem Endkunden" öffnete. Hier wird von Herstellern und Providern meist nur das schnelle Geldverdienen in den Vordergrund gestellt, Sicherheit für den Endbenutzer rückt nur dann in den Fokus, wenn man damit Geld verdienen kann (Anitivrus-Software, Anti-Spyware, ...).

    Gerade im DNS-Bereich, dem Adress-Service des Internet ohne den keine Maschine anhand von einfach zu merkenden Namen einen Server im Internet findet (die sind nämlich nur numerisch adressiert mit den sogenannten IP-Adressen) könnte schon lange mehr Sicherheit implementiert sein. Technologien zur Absicherung des DNS-Verkehrs gibt es schon seit Jahren. Diese verpflichtend einzuführen und dafür zu sorgen, dass unsichere Altprotokolle aus dem Netz verschwinden bedeutet aber Aufwand, der freiwillig von vielen nicht betrieben wird.

    Als Dampfmaschinen zu Beginn Ihrer Entwicklungszeit öfter mal mangels Wartung und verantwortungsvollem Umgang explodierten und Menschen schädigten, reagierte man recht schnell mit der Einführung einer staatlich verordneten Überwachungsinstanz, dem DÜV (Dampfkesselüberwachungsverein), der im Übrigen ein Vorläufer des heutigen TÜV war.

    Wann einigen sich die Staaten dieser Erde mal auf Regulative für Massentechnologien wie das Internet, die mittlerseile zu den kritischen Infrastrukturen zählen? Und das nicht zum Zweck der Kontrolle sondern um den Betreibern ein Mindestmaß an Verantwortungsgefühl zu vermitteln.

    Von der gesetzgeberischen Seite wäre ein recht einfacher Weg gangbar: Macht die Betreiber und kommerziellen Nutzniesser des Internet endlich haftbar für den Murks, den sie da implementieren und verlagert die Beweislast im Schadensfall auf diejenigen, die die Risiken erst hervorrufen. Nur dann wird sich wirklich etwas bewegen.

  • DNSMalware
    Ich möchte da dem Kommentar widersprechen. Wenn eine Gasleitung platzt, sucht man ja auch nicht im Internet nach einer Lösung, sondern ruft den Fachmann.

    Wir Fachhändler und Fachgeschäfte sind genau dafür da. Wir helfen und beseitigen die Schadsoftware. Nicht jeder kann alles. Also den Fachhandel nicht nur als Berater mißbrauchen und dann selber woanders kaufen oder selber forschen. Zumeist sind wir preiswerter, als viele Eigenversuche des unbedarften Anwenders.

    Das Thema ist viel zu heikel, als es PC-Begeisterten zu überlassen.

  • Malware Beseitigung durch Fachleute
    @GSTZ
    Nun, dazu gibt es Fachleute. Die sind in der Lage, die PCs von Laien wieder in Ordnung zu bringen. Ich verstehe die Rufe nach weiterer Einfachheit nicht. Kein Laie käme auf die Idee, sein Auto nach einem Unfall selbst wieder gerade zu biegen, oder bei einem Motorschaden die entsprechenden Reparaturen durch zu führen.
    Aber bei der IT darf es nichts kosten, alles muss man selbst durchführen können. Warum? Und hier die Politik anzurufen halte ich, vorsichtig ausgedrückt, für kompletten Unsinn. Neue Technik per Gesetz ...
    IT ist nunmal eine hochkomplexe Technologie. Fehler können beseitigt werden und Vorsichtmaßnahmen vor erneutem Befall mit Malware können getroffen werden. Dazu gibt es Fachleute!

  • @ToBaS
    Ganz meiner Meinung!!! Genau dieses Phänomän beobachte ich bereits seit Jahren immer wieder. IT muß immer funktionieren und die Beseitigung einer Störung darf natürlich keine Kosten verursachen.
    Ich arbeite selbst im IT-Support und kann mir immer bei Ausfällen oder Störungen von Anwendern anhören wieso es denn ausgerechnet heute diesen und jenen Fehler gibt, es hat doch gestern noch funktioniert. Ich antworte dann immer mit einem Vergleich, dass ein Auto ja auch von heute auf morgen kaputt gehen kann.... es ist ja auch gestern noch gefahren.

  • Strom, Wasser und Internet
    GSTZ schreibt Infrastruktir nutzen. Ja, sollte jeder können! Aber an Strom und Wasser (Trinkwasser) dürfen auch nur Fachkräfte schrauben. Und ITler mit Kindern nutzen wahrscheinlich auch die Fachkenntnisse der Kindergärtnerin. Warum soll die denn nicht die Fachkenntnisse eines ITlers nutzen.

  • GSTZ hat Recht
    Ich bin IT Spezialist, muss jedoch ToBaS vehement widersprechen.
    ToBaS vergleicht hier Äpfel und Birnen.

    Genau eine solche Problematik dürfte nämlich tatsächlich gar nicht erst auftreten! Man müsste dies eher mit dem Autofahren vergleichen, statt mit der Reparatur eines solchen.
    Die IT-Industrie verlangt, dass ich mir einen Chauffeur suche, anstatt selbst fahren zu können!

  • ...Führerschein?!?
    Der Vergleich mit dem Autofahren ist absolut korrekt. Nur nicht zuende gedacht.
    Dazu benötige ich nämlich einen Führerschein.
    Wenn ich den nicht habe, tut's ein Bus auch...oder eben einen Chauffeur :)

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago