Trojanergefahr: BSI ruft zum Sicherheits-Check auf

In Zusammenarbeit mit dem Bundeskriminalamt und der Deutschen Telekom ruft das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf, einen kostenlosen Test auf einer speziellen Internetseite durchzuführen. Dabei soll getestet werden, ob der eigene Rechner mit dem sogenannten DNS-Changer, einem Trojaner, infiziert ist.

Wer immer nur auf seriösen Internetseiten surft, keine verdächtigen Links anklickt und sich auch ansonsten umsichtig im Internet bewegt, fühlt sich oft Sicher vor Malware, Keyloggern und anderen Schädlingen. Doch es ist möglich, dass der eigene Rechner bereits kompromittiert ist und die vermeintlich seriösen Internetseiten in Wirklichkeit Malware-Schleudern von Hackern sind. Um dieses zu bewerkstelligen, leiten die Angreifer die Anfragen des Rechners auf ihre eigenen Internetangebote um. Um aus den ansonsten eher kryptischen Zahlenkolonnen aus denen Internetadressen eigentlich bestehen, die praktischen URLs wie www.google.de zu machen, werden Anfragen eines Browsers über einen sogenannten DNS-Server aufgelöst. Aus www.google.de wird so auf den Server mit der Adresse 173.194.67.94 umgeleitet. Auf diese Umleitung verlassen sich alle Nutzer des Internets – zumindest all diese, die sich nicht die reinen IP-Adressen der Webangebote merken wollen.

Jeder Rechner greift also für den Internetzugang erst auf einen DNS-Server, meinst den des eigenen Internetproviders, zurück. Nun haben es Angreifer aber geschafft, mit der Schadsoftware „DNS-Changer“ den für den betroffenen Rechner voreingestellten DNS-Server zu ändern. Jede aufgerufene Internetadresse wird nach dem Befall mit DNS-Changer also über den Server der Angreifer umgeleitet, so dass es den Angreifer problemlos möglich war, selbst auf Kopien von vermeintlich harmlosen Internetseiten umzuleiten. Anstelle bei der Eingabe von www.google.de also auf 173.194.67.94 umzuleiten, rief der DNS-Server der Angreifer eine täuschend echte Kopie auf, die den Rechner des Nutzers aber noch weiter mit Schadprogrammen verseuchte.

Verbreitet wurde die Malware über das „DNS-Changer-Botnetz“ – insgesamt sollen mehr als vier Millionen Rechner in 100 Ländern betroffen sein. Der Betreiber dieses Botnetzes wurde allerdings bereits im November vergangenen Jahres von der amerikanischen Bundespolizei FBI verhaftet. Anschließend wurden von FBI auch die manipulierten DNS-Server durch harmlose und korrekt eingestellte Server ersetzt. Allerdings kann und will das FBI den Betrieb dieser Server nicht unbegrenzt lang gewährleisten – die Server werden zum 8. März abgeschaltet.

Wer nun den DNS-Changer-Trojaner auf dem Rechner hat, bekommt zwar seit November wieder harmlose Internetseite präsentiert, ab dem 8 März wird der Browser aber jeden Seitenaufruf mit einer Fehlermeldung quittieren, da der im System voreingestellte DNS-Server abgeschaltet ist. Auf der nun vom BSI in Zusammenarbeit mit der Deutschen Telekom und dem Bundeskriminalamt Webseite www.dns-ok.de kann der eigene Rechner auf korrekte DNS-Konfiguration getestet werden.

Erscheint nach dem Klick eine grüne Meldung, ist alles in Ordnung und der Rechner nicht mit dem DNS-Changer infiziert. Eine rote Meldung jedoch weist auf einen Befall durch den Trojaner hin – die Webseite gibt anschließend aber auch Ratschläge, wie sich ein korrekter DNS-Server einstellen lässt. Allerdings testet die Webseite nur auf den Befall durch DNS-Changer und ist kein Testmittel für andere Schädlinge. Ein regelmäßig aktuell gehaltener Virenscanner sollte daher bei jedem Internetnutzer ein Pflichtprogramm sein.