heise online – Operation Ghost Click: FBI nimmt DNSChanger-Botnetz hoch

Die estnischen Strafverfolger haben in Zusammenarbeit mit dem FBI sechs Personen festgenommen und angeklagt, die das bislang wohl größte bekannte Botnetz betrieben haben sollen. Die Verdächtigen sollen im Zeitraum von 2007 bis vergangenen Monat über 4 Millionen Rechner in 100 Ländern mit dem Schädling DNSChanger infiziert haben. Die Staatsanwaltschaft erhebt in diesem Fall sieben Anklagen, darunter Computerbetrug (Wire Fraud), auf dem in den USA eine Haftstrafe von bis zu 30 Jahren steht.

Allein in den USA rechnet das FBI mit 500.000 infizierten Systemen. Auch in Deutschland gab es Infektionen, genaue Zahlen nannte die US-Behörde jedoch nicht. Unter den Opfern befänden sich neben Privatpersonen auch Unternehmen und Regierungsbehörden wie die NASA.

Der Schädling ändert die IP-Adresse des eingesetzten DNS-Servers auf die eines präparierten DNS-Servers der Angreifer. Wenn der Rechner des Opfers nun eine DNS-Abfrage etwa nach der Domain apple.com startet, erhält er eine falsche IP zurück, und das Opfer erreicht statt der Apple-Homepage eine Seite der Angreifer.

Um den böswilligen DNS-Server anderen Clients im lokalen Netzwerk schmackhaft zu machen, arbeitet die Malware auch als DHCP-Server. Dadurch sind auch Rechner oder Smartphones von der DNS-Manipulation betroffen, die gar nicht mit dem Schädling infiziert sind. Zudem versucht DNSChanger den im Router eingestellten DNS-Server zu ändern. Ist die Weboberfläche des Routers passwortgeschützt, probiert der Schädling einige Standardpasswörter durch. Um nicht entdeckt zu werden, hindert DNSChanger laut dem FBI Antivirenprogramme an der Aktualisierung ihrer Virensignaturen.

Die DNS-Server der Angreifer sind in den folgenden Adressbereichen zu finden: 85.255.112.0 bis 85.255.127.255, 67.210.0.0 bis 67.210.15.255, 93.188.160.0 bis 93.188.167.255, 77.67.83.0 bis 77.67.83.255, 213.109.64.0 bis 213.109.79.255 und 64.28.176.0 bis 64.28.191.255. Ist eine IP aus diesen Adressbereichen im Rechner oder Router als DNS-Server eingetragen, ist man mit DNSChanger infiziert. Das FBI erklärt in einer Anleitung (PDF), wo man diese Angabe in verschiedenen Betriebssystemen findet.

Als Sofortmaßnahme hat das FBI hat die böswilligen DNS-Server vom Netz genommen. Damit die infizierten Systeme weiterhin ungehindert ins Internet kommen, haben die Ermittler eigene DNS-Server aufgesetzt, die unter den oben genannten IPs erreichbar sind. Diese sind allerdings nur für einen Zeitraum von vier Monaten online – wer die Infektion nach Ablauf dieser Gnadenfrist nicht entdeckt hat, kann anschließend nicht mehr auf das Internet zugreifen. (rei)

via heise online – Operation Ghost Click: FBI nimmt DNSChanger-Botnetz hoch.

English version: http://www.h-online.com/news/item/Operation-Ghost-Click-FBI-busts-DNSChanger-botnet-1376746.html

Also unbedingt die DNS Einträge überprüfen, oder überprüfen lassen – man kann natürlich auch die 4 Monate abwarten und dann reagieren wenn man plötzlich nicht mehr ins Internet kommt – allerdings sollte man den Grund bis dahin nicht vergessen :-))

Workaround (möglich, aber nicht wirklich ernst gemeint):
im Terminkalender einen Termin in 4 Monaten eintragen „wenn mein Internet nicht mehr geht, DNS Server Einträge ändern“ mit Link auf diesen Artikel – allerdings sollte man seinen Terminkalender nicht in der Cloud haben, den erreicht man dann nämlich nicht mehr :-((

Advertisements

Über rolfschaumburg

Truck-Driver ++ Cosmopolitan ++ Open Networker ++ Sailor ++ Dive-Instructor ++ Golfer ++ Yacht & Floating Home Lover
Dieser Beitrag wurde unter Cloud, Internet, IT-Security abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.