Virus-Alarm DNS-Changer. Rechner sollen abgeschaltet werden...

[Hausbootbewohner]

Zitat:

Zitat von Christo Cologne

...und beides würde auf fremden Servern passieren -
auf meinem Rechner passiert dabei erstmal gar nichts.

genau so ists.

[wolf b.]

Zitat:

Zitat von Hausbootbewohner

Hi Wolf,
das glaub ich nicht.
Technisch ist es doch eigentlich noch viel einfacher:
Rechner, die "befallen" sind, senden Ihre DNS-Anfragen (also auch die Anfrage, welche IP zu www.dns-ok.de gehört) an die kompromittierten Systeme.

Also hinterlegt man auf diesen Systemen eine IP für www.dns-ok.de, die auf einen Server mit einer Warnwebsite verweist (85.214.11.194).

Nicht befallene Rechner senden ihre DNS-Anfragen an die "guten" DNS-Server, dort ist für www.dns-ok.de zum Beispiel die IP-Adresse 85.214.11.195 hinterlegt. Diese zeigt auf ein "grüne" Website.

In dem Fall käme aber kein Warnhinweis auf Deutsch.

[Hausbootbewohner]

Zitat:

Zitat von wolf b.

In dem Fall käme aber kein Warnhinweis auf Deutsch.

?
Wieso denn nicht?
es wird doch "nur" ein DNS-Eintrag erstellt, der auf eine IP verweist. Die Seite selbst liegt doch nicht auf den DNS-Servern.

DNS korrekt, dann wird folgende Seite angezeigt: http://85.214.11.195
DNS nicht korrekt, dann wird folgende Seite angezeigt http://85.214.11.194

Diese Server selbst stehen in Deutschland:

[wolf b.]

Zitat:

Zitat von Hausbootbewohner

?
Wieso denn nicht?
es wird doch "nur" ein DNS-Eintrag erstellt, der auf eine IP verweist. Die Seite selbst liegt doch nicht auf den DNS-Servern....

Wie soll dann der DNS Server entscheiden an welche IP er weiter routet?
Kommt eine Anfrage aus USA, käme diese dann auch auf die deutschen Seiten.

[Hausbootbewohner]

Zitat:

Zitat von wolf b.

Wie soll dann der DNS Server entscheiden an welche IP er weiter routet?
Kommt eine Anfrage aus USA, käme diese dann auch auf die deutschen Seiten.

Ja, genau.
Wobei ein DNS-Server NICHT routet. niemals nie nicht, sozusagen
Dein PC fragt den DNS Server doch nur nach der IP, die zu dem Namen www.dns-ok.de gehört. Dann nimmt Dein Rechner selbst die Verbindung zu der genannten IP-Adresse auf.

[Tonne5]

Zitat:

Zitat von Freibeuter

Die Schadquelle wurde erkannt und trotzdem infizieren sich jeden Tag angeblich weitere 30000 Rechner. Warum soll ich den jetzt und einmalig meinen Rechner checken, wenn das Ding sich noch weiter verbreitet? Normal müsste das dann doch täglich oder am Ende einer Nutzung passieren. Es sei denn: es wurde nicht nur meine DNS geprüft, sonder etwas hinzugefügt...

Eine so umfangreiche und kostenlose Dienstleistung unseres Staats ist doch sehr selten. Und wenn so Umfangreich reagiert wird, muss doch was gaaaaaanz Dickes passiert sein. Von dem angeblichen ursaechlichem Ereignis oder Ausloeser liest man nichts.

Ich glaube von der Geschichte hören wir noch mehr -wie auch immer- und warte mit der Prüfung bis zum 29. Feb..

Ich glaube das liegt ganz einfach daran, dass es einfach nicht jeder Journalist oder Schreiberling schafft, Inhalte so wiederzugeben- dass es auch jeder versteht, bzw. nachvollziehen kann.
Bei Heise Security habe ich zum Thema mal einen wirklich guten Text gelesen-

http://www.heise.de/security/meldung...f-1407567.html

Da steht im zweiten und dritten Absatz alles zu den Hintergründen und Funktionsweise des Checks.

[Grauer Bär]

zuerst wurde mir folgendes angezeigt:



nach ein bißchen Hacken sieht es bei mir jetzt so aus

[Freibeuter]

Das ist der eV der mit dem Pruefauftrag ausgestattet wurde. Hier erfährt man was gemacht wird und wie mit den Daten umgegangen wird. Jeder kann jetzt die weiteren 18 Arbeitskreise abgoogeln und sehen was mit den Daten ermittelt werden kann.
Ob das gut, schlecht, oder gar egal ist kann ich nicht beurteilen. Jedenfalls weiss der wirtschaftliche Lobbyverband, mit welcher Anzahl und technischer Ausstattung sein Kaufvolk unterwegs ist.

http://dns-changer.eu/datenschutz.html

eco - Verband der deutschen Internetwirtschaft e.V

http://de.wikipedia.org/wiki/Eco_–_V...rnetwirtschaft

[Stoertebeker2010]

Ich habe gestern vom BSI folgende Mail erhalten:

Zitat Anfang

SICHER o INFORMIERT -------------------
Die Extraausgabe des Bürger-CERT Ausgabe vom 11.01.2012

TITEL
BSI empfiehlt Überprüfung von PCs auf Schadsoftware "DNS-Changer"

UNTERÜBERSCHRIFT
Einfacher Test

TEXT
Bonn / Wiesbaden, 11. Januar 2012. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware "DNS-Changer" zu überprüfen. Ab sofort ist eine solche Überprüfung mit Hilfe der Webseite www.dns-ok.de ganz einfach möglich. Die Webseite wird gemeinsam von der Deutschen Telekom, dem BSI und dem Bundeskriminalamt zur Verfügung gestellt.

Dies wurde notwendig, weil Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware "DNS-Changer" manipuliert hatten. Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden. Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.

In Deutschland sind nach Angaben der amerikanischen Bundespolizei FBI derzeit bis zu 33.000 Computer täglich betroffen. Mit der Internetseite www.dns-ok.de können Internetnutzer ab sofort eigenständig prüfen, ob ihr System von dem Schadprogramm "DNS-Changer" betroffen ist. Beim Aufruf dieser Internetadresse erhalten Nutzer, deren Computersystem von dem Schadprogramm manipuliert wurde, eine Warnmeldung mit roter Statusanzeige. Ergänzt wird dieser Hinweis durch eine Reihe von Empfehlungen, mit denen die Anwender die korrekten Systemeinstellungen wiederherstellen sowie ggf. die Schadsoftware vom System entfernen können. Ist dagegen der Rechner des Internetnutzers nicht betroffen, erhält der Besitzer die Meldung mit einer grünen Statusmeldung, dass sein System korrekt arbeitet.

Verbreitet wurde die Schadsoftware durch das so genannte "DNS-Changer-Botnetz", dessen Betreiber im November 2011 von der amerikanischen Bundespolizei FBI und europäischen Ermittlungsbehörden verhaftet wurden. Die von den Onlinekriminellen manipulierten DNS-Server wurden nach der Festnahme vom FBI durch korrekt arbeitende DNS-Server ersetzt. Diese Server sollen jedoch zum 8. März 2012 abgeschaltet werden. Bei betroffenen Rechnern ist dann eine Internetnutzung ohne die empfohlenen Änderungen der Einstellungen nicht mehr möglich, da die Nutzer wegen des nunmehr fehlenden Zugriffs auf das "Telefonbuch" (DNS) im Internet mit ihrem Computer keine Webseiten mehr aufrufen können. Daher sollten Internetnutzer die Überprüfung und ggf. Reinigung ihres Rechners möglichst bald durchführen.

Die Überprüfung erfolgt ausschließlich über den Aufruf der Website www.dns-ok.de, es wird keine Software gestartet oder heruntergeladen. Zur Reinigung des Rechners können die Betroffenen beispielsweise die unter www.botfrei.de bereitgestellten Programme wie den "DE-Cleaner" nutzen.

-----------------------------------------------------------------------
Diese Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Zitat Ende

hth

[Molly Malone]

Ich warte mal bis März, ich trau dem Frieden nicht. Ehrlich - mir kommts komisch vor.


Er hat auch nichts gefunden...

Kalli

[Borne]

Hier mal ein Youtube Video zum Thema.

[Molly Malone]

Ich wollte nur daran erinnern....
"Am 8. März legt FBI infizierte Computer lahm."

Kalli

[doggeldoggel]

Hi Kalli,

das FBI legt keine Rechner lahm. Die schalten nur die Fake-DNS Server ab,
da es nicht die Aufgabe eines Staates ist diese Dinger zu finanzieren und
zu warten.

Mit Deinem Rechner hat das nichts zu tun. Hier ging es um Werbeeinnahmen
und womöglich Daten für Onlinekonten etc. Diese pösen Purschen sind längst
auf "Wasser" und "Brot".

DNS Server sind nichts weiter als die Telefonbücher des Internets. Die pösen Purschen
haben nun dafür gesorgt das ihr Heinz Schulz erreicht, wenn ihr Ernst Schulz anrufen
wolltet. Heinz Schulz waren dabei Webseiten die sie kontrolliert und damit Werbeeinnahmen
generiert haben.

Ich als Publisher muss sagen - geniale Idee. Allerdings gehe ich dann
doch lieber den legalen Weg um Leser zu erhalten und im besten Fall zu
wiederkehrenden Benutzern zu machen.

Edit: Das FBI wird nun diese falschen Telefonbücher zerreissen und ihr könnt schlimmstenfalls
weder Heinz Schulz noch Ernst Schulz erreichen. Einfach: Ein Rechner mit diesen
Telefonbuchdaten erreicht keine Webseiten mehr. Ärgerlich, aber die Sache lässt
sich schnell lösen.

Mehr ist eigentlich nicht passiert, es ist kein Virus/Trojaner im klassischen
Sinn.

Wenn das FBI, oder sonstwer Eure Daten möchte, geht das wesentlich einfacher.


Viele Grüsse

Danny