Das Federal Bureau of Investigation (FBI) hat bekannt gegeben, dass einer der Verantwortlichen hinter DNSChanger an die USA ausgeliefert wird. Gleichzeitig wies die Behörde darauf hin, dass sie die zur Malware gehörigen Server am 9. Juli abschalten wird. Sie betonte, dass hunderttausende Nutzer, deren Geräte infiziert sind, dann nicht mehr auf das Internet zugreifen können.
Ausnahmsweise ist hier nicht die Malware selbst das Problem: Das FBI hatte vergangenen November mehr als 100 Server sichergestellt, über die Cyberkriminelle ein Netzwerk infizierter Rechner manipuliert hatten. Die Behörde konnte die Server aber nicht abschalten, weil dann vermutlich Millionen Computer weltweit vom Internet abgeschnitten gewesen wären.
DNSChanger war 2007 entdeckt worden und hat weltweit Millionen Computer infiziert. Die Malware leitet den gesamten Datenverkehr eines Rechners um. Statt sich also mit einem korrekt arbeitenden DNS-Server zu verbinden, kommuniziert er mit den Servern der Kriminellen. Zwar hat das FBI die manipulierten DNS-Server durch korrekt arbeitende ersetzt, doch auch sie sollen abgeschaltet werden. Ursprünglich war dafür der 8. März angesetzt.
Nach Angaben der DNSChanger Working Group (DCWG) waren Anfang des Jahres noch rund 450.000 Systeme mit dem Virus infiziert. Mittlerweile ist die Zahl auf etwa 350.000 Rechner gesunken.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon Mitte Januar auf das Problem aufmerksam gemacht. Es riet deutschen Internetnutzern, ihren PC auf einen Befall mit der Schadsoftware zu testen. Gemeinsam mit dem Bundeskriminalamt und der Deutschen Telekom hat das BSI eine Testwebseite eingerichtet.
Mit Hilfe der Testseite www.dns-ok.de lässt sich überprüfen, ob ein Rechner infiziert ist. Liegt keine Infektion vor, erhält der Nutzer eine grüne Statusmeldung mit dem Hinweis, dass sein System korrekt arbeitet. Wurde ein Gerät vom DNS-Changer manipuliert, leuchtet eine Warnmeldung mit roter Statusanzeige auf. Dazu liefert das BSI eine Reihe von Empfehlungen, um die Systemeinstellungen zurückzusetzen und die Malware zu entfernen.
Nach Angaben des BSI handelt es sich in den meisten Fällen um ein relativ schwer zu entfernendes Rootkit namens „TDDS/TDL4“, das Schadsoftware aus dem Internet nachlädt. Diese wird vorrangig zum Ausspionieren von Nutzerdaten und Kontoinformationen genutzt. Die Behörde hat auch eine Beispielseite eingerichtet, wie die Warnung bei einem infizierten System aussieht.
[mit Material von Edward Moyer, News.com]
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…