Die lange angekündigte Abschaltung der DNSChanger-Server ist kaum bemerkt worden, da die Zahl infizierter Computer durch Aufklärungskampagnen inzwischen erheblich zurückgegangen ist. Bei noch immer betroffenen Nutzern sprangen Internet-Service-Provider ein, die ihren Traffic über neu eingerichtete Server leiteten.
Als im November letzten Jahres ein international agierender Cybercrime-Ring aufgedeckt wurde, war von 4 Millionen Computern die Rede, die mit der Schadsoftware DNSChanger infiziert sein sollten. Die Malware leitete bestimmte Anfragen von Computern mit Windows oder Mac OS X automatisch an manipulierte DNS-Server und spezielle Websites weiter. Wer iTunes besuchen wollte, geriet beispielsweise auf die Site einer Firma, die angeblich Apple-Software verkaufte. Die Betrüger sollen durch die gezielten Umleitungen insgesamt 14 Millionen Dollar eingenommen haben.
Das FBI schaltete die Kommandoserver nicht sofort ab, um den betroffenen Nutzern nicht den Internetzugang zu nehmen. Es ersetzte sie durch eigene Server für die Namensauflösung, kündigte aber zugleich deren spätere Abschaltung an, die schließlich am 9. Juli erfolgte. Viele Organisationen, darunter auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) machten monatelang auf das Problem aufmerksam. Sie richteten Testwebsites ein und gaben Empfehlungen, um die Systemeinstellungen zurückzusetzen und die Malware zu entfernen. Google warnte auf seinen Suchseiten Nutzer von Clients, die mit DNSChanger infiziert waren.
Nach der Abschaltung kam die schnelle Entwarnung. „Wir haben keinen einzigen Bericht über jemanden gesehen, der den Internetzugang verloren hat“, sagte Johannes Ullrich, Sicherheitsforscher des Sans Institute. „Alles nur Hype. Es passiert gar nichts.“
Am 4. Juli gab es noch geschätzte 45.600 infizierte Rechner in den USA sowie 252.000 weltweit. Laut FBI-Sprecherin Jenny Shearer verringerten sie sich auf 41.800 und 211.000 kurz vor der Abschaltung. Aus Deutschland waren am Wochenende noch knapp 15.000 infizierte Rechner gemeldet worden.
Verbliebene Infektionen wurden teilweise von Internet-Service-Providern aufgefangen. „Bei der kleinen Anzahl von Kunden, deren Computer den Virus haben könnten, leiten wir den Traffic auf dafür eingerichtete Server um, damit sie ihre Computer weiterhin nutzen können“, erklärte AT&T-Sprecher Mark Siegel in einer E-Mail an News.com. „Das bleibt so bis Ende des Jahres, so dass diese Nutzer noch mehr Zeit haben, um den Virus von ihren Computern zu entfernen.“
„Das FBI ist raus – und die ISPs sind drin“, berichtete F-Secure in einem Blogeintrag. Das FBI lobte sich selbst für seine Leistung. „Das FBI hatte nie zuvor eine solche Aufgabe, mit privaten und behördlichen Partnern ein Sicherheitsnetz zu schaffen“, sagte Sprecherin Shearer. „Es zeigt, dass Lösungen gegen Cyberverbrechen möglich sind, die in der Vergangenheit vielleicht nicht erforderlich waren. Aber so wie sich die Cyberverbrecher anpassen können, so können es auch die Strafverfolgungsbehörden.“
[mit Material von Elinor Mills, News.com]
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…