Google warnt auf Suchseiten vor Infektionen mit DNSChanger

Google nutzt ab sofort einen Trick, um Nutzer von mit DNSChanger infizierten Clients auf seinen Suchseiten über ihr Problem zu informieren. Sie erfahren so, dass ihre Internetverbindung ab 9. Juli aussetzen wird, wenn das FBI wie geplant seine temporären Server abschaltet.

Das FBI hatte vergangenen November mehr als 100 Server sichergestellt, über die Cyberkriminelle ein Netzwerk infizierter Rechner manipuliert hatten. Die Behörde konnte die Server aber nicht abschalten, weil dann vermutlich Millionen Computer weltweit vom Internet abgeschnitten gewesen wären.

DNSChanger war 2007 entdeckt worden und hat weltweit Millionen Computer infiziert. Die Malware leitet den gesamten Datenverkehr eines Rechners um. Statt sich also mit einem korrekt arbeitenden DNS-Server zu verbinden, kommuniziert er mit den Servern der Kriminellen. Zwar hat das FBI die manipulierten DNS-Server durch korrekt arbeitende ersetzt, die jetzt das Internet Systems Consortium (ISC) betreut, doch auch sie sollen abgeschaltet werden. Ursprünglich war dafür der 8. März angesetzt. Später verschob sich der Termin auf 9. Juni.

Nach Angaben der DNSChanger Working Group (DCWG) waren Anfang des Jahres noch rund 450.000 Systeme mit dem Virus infiziert. Mittlerweile ist die Zahl auf etwa 350.000 Rechner gesunken.

„Die Warnung erscheint oben auf der Seite mit den Suchergebnissen, und zwar bei normalen Suchvorgängen, Bildersuchen und Suche in nachrichten“, sagt Google-Entwickler Damian Menscher. „Der Text lautet: ‚Ihr Computer scheint infiziert‘ und einige Details.“

Die vom ISC betriebenen Ersatz-DNS-Server verwenden eine bestimmte IP-Adresse, wenn sie mit Googles Systemen interagieren. Google nimmt an, dass alle Verbindungen zu diesen Servern von infizierten PCs stammen, und zeigt diesen die Warnmeldung an. Ein ähnliches Verfahren hatte es vergangenen Sommer schon einmal angewendet, um Anwender zu warnen, deren Suchanfragen über seine Proxys erfolgten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon Mitte Januar auf das Problem aufmerksam gemacht. Es riet deutschen Internetnutzern, ihren PC auf einen Befall mit der Schadsoftware zu testen. Gemeinsam mit dem Bundeskriminalamt und der Deutschen Telekom hat das BSI eine Testwebseite eingerichtet.

Mit Hilfe der Testseite www.dns-ok.de lässt sich überprüfen, ob ein Rechner infiziert ist. Liegt keine Infektion vor, erhält der Nutzer eine grüne Statusmeldung mit dem Hinweis, dass sein System korrekt arbeitet. Wurde ein Gerät vom DNS-Changer manipuliert, leuchtet eine Warnmeldung mit roter Statusanzeige auf. Dazu liefert das BSI eine Reihe von Empfehlungen, um die Systemeinstellungen zurückzusetzen und die Malware zu entfernen.

Nach Angaben des BSI handelt es sich in den meisten Fällen um ein relativ schwer zu entfernendes Rootkit namens „TDDS/TDL4“, das Schadsoftware aus dem Internet nachlädt. Diese wird vorrangig zum Ausspionieren von Nutzerdaten und Kontoinformationen genutzt. Die Behörde hat auch eine Beispielseite eingerichtet, wie die Warnung bei einem infizierten System aussieht.

[mit Material von Declan McCullagh, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.