Schädling DNS-Changer: Wie hoch die Gefahr wirklich ist

Das BSI warnt vor dem gefährlichen Trojaner DNS-Changer, der derzeit im Web kursiert. Der Schädling modifiziert die DNS-Einstellungen des Rechners, so dass alle DNS-Anfragen über Server geleitet werden, die von Kriminellen aufgesetzt wurden und falsche Antworten geben.

Diese Falschantworten lassen sich für zahlreiche Angriffe missbrauchen. Das Spektrum reicht von unerwünschten Werbeeinblendungen bis hin zu Phishing-Attacken, die nur schwer zu entdecken sind. Bei einem Phishing-Angriff, der mittels manipulierten DNS-Servern ausgeführt wird, ist in der URL-Zeile die echte URL der Bank zu sehen, etwa http://www.meine-bank.de. Ohne falsche DNS-Antworten sehen aufmerksame Nutzer im Browser eine ähnliche, aber andere URL, etwa http://www.meine-bank.de.vu.

Aber zunächst einmal darf Entwarnung gegeben werden. Die Kriminellen wurden bereits im November vom FBI verhaftet. Allerdings stand die US-Bundespolizei vor dem Dilemma, dass sie die falschen Server nicht einfach abschalten konnte. Das hätte dazu geführt, dass infizierte Rechner ab sofort keine Namensauflösung mehr zur Verfügung hätten. Die Eingabe von www.google.de im Browser hätte dazu geführt, dass kein Server gefunden worden wäre.

Das FBI hat daher entschieden, die betrügerischen Server durch eigene zu ersetzen, die korrekte Antworten geben. Allerdings will das FBI nicht auf Dauer zum kostenlosen Anbieter von DNS-Diensten werden. Daher werden die Server am 8. März abgeschaltet. Bis dahin müssen betroffene Nutzer ihre DNS-Konfiguration berichtigen.

In den Medien ist meist zu lesen, dass man ansonsten ab dem 8. März vom Internetverbindung getrennt ist. Das ist technisch nicht ganz korrekt, die Verbindung besteht weiterhin, aber es können keine Domainnamen mehr aufgelöst werden, was in der Konsequenz gleichbedeutend mit der vollständigen Trennung vom Internet ist.

Auch nach dem 8. März ist eine Beseitigung des Problems möglich. Allerdings wird es schwer, sich ohne funktionierende Internetverbindung eine Anleitung zu beschaffen und die notwendigen Tools herunterzuladen. Es gilt daher, bereits jetzt zu handeln.


Die Website www.dns-ok.de warnt vor einer manipulierten DNS-Konfiguration (Screenshot: ZDNet).

Zunächst einmal sollte man überprüfen, ob man von dem Problem betroffen ist. Dazu haben BSI, die Deutsche Telekom und das Bundeskriminalamt die Website www.dns-ok.de bereitgestellt. Wer einen grünen Balken sieht, dessen DNS-Konfiguration wurde nicht manipuliert – jedenfalls nicht so, dass er auf den falschen DNS-Servern der jüngst festgenommenen Cyberkriminellen landet. Weitere Manipulationen, die von anderen Schädlingen stammen, werden von diesem Test nicht erfasst.

So wird man die Malware wieder los

Eine Beseitigung erfolgt am besten in drei Schritten

  1. Entfernung des Schädlings
  2. Überprüfung und Berichtigung der DNS-Konfiguration am eigenen Rechner
  3. Überprüfung und Berichtigung der DNS-Konfiguration am NAT-Router

Die Entfernung der Malware alleine reicht nicht aus. Hat diese einmal die DNS-Konfiguration auf dem Rechner oder dem NAT-Router manipuliert, bleibt das Problem bestehen, auch wenn der Rechner eigentlich wieder "sauber" ist.

Der Schädling selbst besteht aus meist aus dem Windows-Rootkit TDDS/TDL4. Das wirft das Problem auf, dass er von einer Antiviren-Software, die auf auf dem befallenen Betriebssystem läuft, nicht mehr erkannt werden kann. Daher muss der Rechner mit einer Rettungs-CD gestartet werden. Unter Mac OS X reicht es aus, eines der angebotenen Tools laufen zu lassen. Das DNSChanger Removal Tool für Mac ist kostenlos.

Unter Windows empfiehlt das BSI zunächst eins von drei angebotenen DE-Cleaner-Tools zu verwenden. ZDNet empfiehlt die Tools von Kaspersky oder Avira. Die Version von Symantec (Norton) meldet häufig Fehlalarme.

Das Rootkit kann weitere Schadsoftware nachladen, die insbesondere zum Ausspionieren des Nutzers, etwa von Passwörtern, dient. Daher sollte man anschließend eine spezielle Rettungs-CDs einsetzen, die von Avira stammt. Falls diese Rettungs-CD Alarm schlägt, sollten Nutzer zur Sicherheit alle Passwörter auf dem lokalen Rechner und im Internet ändern.

Nach dem Neustart des Rechners sollte die DNS-Konfiguration wieder in Ordnung sein. Das überprüft man am besten, indem man erneut die Website www.dns-ok.de aufruft. Erscheint nach wie vor ein roter Balken, muss die DNS-Konfiguration von Hand in Ordnung gebracht werden. Anleitungen dazu gibt es für Windows XP, Vista und 7 sowie für Mac OS X.

Anleitungen des BSI sind unvollständig

Die Anleitungen sind recht ausführlich. Sie gehen allerdings nicht darauf ein, dass die DNS-Konfiguration für jedes Netzwerk-Interface inklusive WLAN, VPN-Verbindungen und UMTS-Sticks einzeln repariert werden muss. Auf einem Laptop hat man meist mindestens zwei Netzwerk-Interfaces für die Ethernet-Karte und das WLAN-Verbindung.

Wer nur die Ethernetkarte (unter Windows meist "LAN-Verbindung" benannt) in Ordnung bringt, bekommt Probleme, wenn er das nächste Mal seine WLAN-Karte (Drahtlosnetzwerkverbindung beziehungsweise AirPort bei Mac-Rechnern) oder seinen UMTS-Stick benutzt.


Wer mehrere Netzwerkverbindungen besitzt, etwa per Kabel und WLAN, muss seine Konfiguration für jedes Interface berichtigen.

NAT-Router können auch betroffen sein

Das vom eco und BSI betriebene Portal www.botfrei.de weist darauf hin, dass einige Schädlinge nicht nur den lokalen Rechner, sondern auch den NAT-Router infizieren. In einer typischen SOHO- oder SME-Umgebung dient der NAT-Router meist als DNS-Proxy. Die Rechner im Netzwerk stellen DNS-Anfragen an den NAT-Router, der diese an die Server des Internet-Providers weiterleitet.

Ist die DNS-Konfiguration des NAT-Routers manipuliert, lässt sich auf dem eigenen Rechner nichts Verdächtiges ermitteln. Auch eine spezielle Rettungs-CD findet kein Problem. Trotzdem wird ab dem 8. März faktisch kein Internetzugang mehr möglich sein.

Meist werden Manipulationen am NAT-Router dadurch möglich, dass Nutzer für das Webinterface des Routers kein Passwort setzen oder das vom Hersteller vorgegebene Passwort nicht ändern. Wer kein eigenes Passwort gesetzt hat, sollte seinen NAT-Router testen. Wenn am eigenen Rechner kein Problem mehr festzustellen ist, aber die Website www.dns-ok.de weiterhin einen roten Balken zeigt, dann ist der NAT-Router höchstwahrscheinlich betroffen.

Als allgemeine Anleitung kann hier gegeben werden, dass man den Router auf Werkseinstellungen zurücksetzen sollte. Vorher benötigt man aber unbedingt wieder die Zugangsdaten des Providers, da man erneut eingeben muss. Je nach Erfahrung des Nutzers ist es ferner ratsam, die Installationsanleitung zur Hand zu haben.

Wenn der Router neu eingerichtet ist, sollte man seinen Rechner neu starten und den DNS-Test erneut ausführen.

ZDNet.de Redaktion

Recent Posts

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

4 Stunden ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

5 Stunden ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

1 Tag ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

1 Tag ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

2 Tagen ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

2 Tagen ago