Skip to content

"DNS-Changer" - welcher DNS-Changer ist gemeint?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit der Schadsoftware "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt wird (www.dns-ok.de). Soweit, so gut. Oder schlecht. Denn:

Wer ist dieser "DNS-Changer" überhaupt?

Erst mal ist "DNS-Changer" ein selten dämlicher Eigenname für eine Schadsoftware, die die DNS-Einstellungen eines Rechners ändert. Denn "DNS-Changer" ist gleichzeitig die Gattungsbezeichnung für diese Art von Schadsoftware. "DNS-Changer" ist also ein DNS-Changer, und einer von vielen DNS-Changern heißt "DNS-Changer". Alles klar? Wenn nicht, ist es auch egal, denn alle anderen wissen in diesem Fall auch nicht viel mehr, FBI und BSI wohl eingeschlossen. Denn auch die Informationsseite auf botfrei.de, auf die die Testseite www.dns-ok.de verweist, enthält keine Informationen darüber, um wen es sich bei "DNS-Changer" denn nun handelt. Dort wird auf die Nutzung der DNS-Changer für Phishing-Angriffe hingewiesen, während "DNS-Changer" für Klickbetrug und das Manipulieren von Werbeanzeigen eingesetzt wurde.

Was ein DNS-Changer allgemein und was "DNS-Changer" insbesondere macht, erkläre ich hier in einem separaten Text.

Jetzt versuchen wir erst mal, festzustellen, um welchen DNS-Changer es sich bei "DNS-Changer" handelt. Denn davon gibt es viele, z.B. mit eigenem DHCP-Server, mit der Möglichkeit, SOHO-Router zu manipulieren, für den Mac oder als Komponente des Wurms Koobface.

Google-Ergebnisse durch BSI-Warnung überflutet

Die Google-Suche nach "DNS-Changer" ist dabei wenig hilfreich, da findet man vor allem Hinweise auf die BSI-Warnung. Auch bei den anderen typischen Anlaufstellen wie z.B. dem Internet Storm Center gibt es keine wirklich hilfreichen Informationen. Es scheint sich um ein rein deutsches Problem zu handeln.

Aber erst mal: Kein Panik, das Internet fällt nicht aus, wie manche Medien behaupten. Allenfalls haben (viele) einzelne Rechner nach dem 8. März keinen Zugriff mehr auf das Internet. Aber das nicht wegen eines "Supervirus" o.Ä. "im Internet", sondern weil sie mit einem Trojaner infiziert sind, der ihre DNS-Einstellungen manipuliert hat, eben dem besagten "DNS-Changer". Der hat die DNS-Einstellungen so geändert, dass alle Anfragen an einen Server unter der Kontrolle der Cyberkriminellen geschickt werden. Und dieser Server steht nun unter der Kontrolle des FBIs, dass ihn am 8. März abschalten wird. Danach gehen die DNS-Abfragen ins Leere und die betroffenen Rechner wissen nicht mehr, wie sie z.B. diesen Webserver, www.ceilers-news.de, erreichen können. Aber darauf gehe ich hier ein.

Eine Spur führt zum FBI

Im vorigen Absatz habe ich schon einen weiteren Hinweis gegeben, der uns zum "DNS-Changer" führen sollte: Das FBI hat die Cyberkriminellen im November 2011 auffliegen lassen, und darüber lassen sich ja vielleicht Informationen über den betroffenen Schädling ermitteln. Suchen wir also mal nach erfolgreichen Aktionen des FBI gegen Cyberkriminelle. Dabei findet man mehr oder weniger schnell eine Pressemitteilung des FBI vom 9.11.2011: "Operation Ghost Click - International Cyber Ring That Infected Millions of Computers Dismantled".

Die Informationen über die Verhaftung der Cyberkriminellen ist erfreulich, aber hier nicht weiter von Interesse. Von Interesse ist ein anderer Punkt: Es wurde Wert darauf gelegt, dass der Internetzugang der Opfer nicht unterbrochen wurde. Daher wurden die bösartigen DNS-Server durch einwandfrei funktionierende ersetzt. Auf den ersten Blick eine gute Idee, auf dem zweiten eher nicht, aber auch dazu andernorts mehr. Wird sind ja immer noch auf der Suche nach dem richtigen DNS-Changer namens "DNS-Changer". Die Pressemitteilung des FBI ist dabei ebenfalls nicht hilfreich.

Vom FBI zu den Antiviren-Herstellern

Also gucken wir doch mal, was sich zur "Operation Ghost Click" finden lässt. Vor allem Meldungen von Antiviren-Hersteller wären jetzt hilfreich, denn die werden ja wohl hoffentlich genauer wissen und auch angeben, um welchen DNS-Changer es sich eigentlich handelt. Und in der Tat gibt es da bei einigen Herstellern entsprechende Informationen, z.B. in Sophos Blog Naked Security, in Trend Micros TrendLab Malware Blog, im ESET Blog, in Symantecs Blog und im Diary des Internet Strom Centers. In letzterem wird auch darauf hingewiesen, dass es viele verschiedene DNS-Changer gibt. Aber welcher davon ist denn nun "DNS-Changer"?

Im ESET-Beitrag gibt es dazu keine hilfreichen Hinweise, dafür wird dort auf die Gefahren für das DNS durch die Filterforderungen der US-Musik- und Filmindustrie hingewiesen. Denn dadurch wird die US-Regierung ebenfalls zu einem DNS-Changer. Aber das ist ein Thema für einen zukünftigen "Standpunkt".

Auch Symantec ist wenig hilfreich. Dort erweckt man fast den Anschein, es gäbe nur einen DNS-Changer.

Trend Micro beschreibt Aufbau und Funktion des Botnets und weist darauf hin, dass man seit 2006 vermutet hat, wer hinter dem DNS-Changer steckt, und mit den Behörden bei der Ermittlung der Cyberkriminellen zusammengearbeitet hat. Untermauert wird das mit Informationen über die Cyberkriminellen. Nur über den DNS-Changer selbst verrät man nichts. Allerdings verweist man auf einen Blogbeitrag von Rik Ferguson, und in dem erfährt man etwas mehr: Es gibt bei Trend Micro eine Landing Page zur Operation Ghost Click. Leider gibt es auch dort keine genauen Informationen zu "DNS-Changer".

Damit kommen wir zu Sophos. Auch dort gibt es erst mal eine Beschreibung der DNS-Changer allgemein. Aber dann gibt es einen kleinen Hinweis auf "DNS-Changer": Einen Link zur Beschreibung der Mac-Variante. Und dabei handelt es sich um den 2007 entdeckten Fake-Codec mit Namen "OSX/RSPlug-A", einen klassischen Trojaner. Zur Windows-Version gibt es aber wieder keinen Hinweis außer dem, dass es viele Schädlingsfamilien gibt: "the DNS Changer malware family referred to in the FBI's article is just one of many thousands of malware families, each consisting of many thousands of samples."

Auch der ansonsten immer seht gut informierte Brian Krebs weiß anscheinend nicht, um welchen DNS-Changer es sich genau handelt, wartet dafür aber mit weiteren Informationen über die Cyberkriminellen auf.

Zurück zum FBI

Werfen wir noch mal einen Blick auf die vom FBI veröffentlichten Informationen, speziell die PDF-Datei "DNSChanger Malware" mit der Beschreibung des DNS-Changers. Auch darin wird nicht angegeben, welcher Schädling genau gemeint ist. Es gibt Hinweise auf die Entdeckung von DNS-Manipulationen auf Windows-PCs, Mac OS X Rechnern - und SOHO-Routern. Mit letzterem könnte z.B. der schon anfangs erwähnte DNS-Changer mit der Möglichkeit, SOHO-Router zu manipulieren, gemeint sein. Dabei handelt es sich um eine Variante des Trojaners Zlob, Trojan.Zlob.P. Der wird über Drive-by-Infektionen verbreitet oder von anderer Schadsoftware nachgeladen.

Fassen wir mal zusammen

Was wissen wir also über "DNS-Changer"?

  • Er infiziert Windows- und Mac-OS-X-Rechner
  • und manipuliert SOHO-Router.
  • Bei der Mac-Version scheint es sich um den als Fake-Codec verbreiteten "OSX/RSPlug-A" zu handeln.

Außerdem könnte es sich bei der bzw. einer Windows-Version um den per Drive-by-Infektion und durch andere Schadsoftware verbreiteten Trojaner Trojan.Zlob.P handeln.

Besonders viel ist das nicht, und besonders hilfreich ist es auch nicht. Da drängt sich mir eine Frage auf: Woher weiß ich, dass ich bei einer Reinigung eines infizierten Systems wirklich den richtigen DNS-Changer "DNS-Changer" entfernt habe?

Was ist, wenn sich jemand mehr als einen DNS-Changer eingefangen hat und sein Antivirenprogramm nur den falschen davon erkennt und löscht? Wenn der Benutzer danach die DNS-Einstellungen korrigiert und www.dns-ok.de daraufhin "grünes Licht" gibt? Später könnte "DNS-Changer" dann unbemerkt die DNS-Einstellungen ändern und der betroffene Benutzer stellt am 8. März entsetzt fest, dass ja doch "das Internet" ausgefallen ist.

So ein Fall dürfte unwahrscheinlich sein, ausschließen würde ich ihn aber nicht. Dafür gibt es einfach zu viel Schadsoftware. Von daher wäre es schon besser, man wüsste, womit man es nun genau zu tun hat. Trojaner, die (u.a.) als DNS-Changer arbeiten, gibt es viele. Würde der echte "DNS-Changer" daher bitte mal vortreten?

War es das? Ist am 8. März der Spuk vorbei?

Was ist, wenn nach dem 8. März ein Rechner mit "DNS-Changer" infiziert wird? "DNS-Changer" funktioniert, nach allem was wir wissen oder eher nicht wissen, unabhängig von den Nameservern der Cyberkriminellen. Nur seine Schadfunktion ist ohne diese Server nutzlos. Dafür wird nach dem 8. März aus dem DNS-Changer ein DoS-Schädling, der dafür sorgt, dass infizierte Rechner nicht mehr ins Internet kommen.

Solange wir nicht wissen, um welchen Schädling es sich handelt, wissen wir auch nicht, ob er noch im Internet unterwegs ist oder ob seiner Verbreitung gestoppt wurde. Bei einem ausschließlich durch die Cyberkriminellen verbreiteten Schädling dürfte die Verbreitung nach dem Lahmlegen ihrer Server gestoppt sein. Aber was ist, wenn "DNS-Changer" auch als Virus oder Wurm unterwegs ist? Oder anderweitig verbreitet wird, z.B. als nachladbare Komponente anderer Schadsoftware? Dann wollen wir mal hoffen, dass alle Beteiligten genau wissen, was sie tun, und dass ab dem 9. März kein Zombie-Schädling das Internet unsicher macht.

Carsten Eilers


Übersicht über alle Artikel zum Thema

"DNS-Changer" - Was ist ein DNS-Changer?
Standpunkt: "DNS-Changer" - welcher DNS-Changer ist gemeint?
Standpunkt: www.dns-ok.de ist harmlos
Standpunkt: www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?
Standpunkt: DNS-Changer ohne Ende?

Trackbacks

Dipl.-Inform. Carsten Eilers am : Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr

Vorschau anzeigen
In dieser Folge dreht sich weiter alles um die Frage, ob ein Super-Schädling wie es der von Dragos Ruiu beschriebene BadBIOS sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich bereits irgendwo implementiert wur

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!