Dipl.-Inform. Carsten Eilers

DNS ist (zumindest in diesem Fall) die Abkürzung von "Domain Name System", einem der (wenn nicht sogar dem) wichtigste(n) Dienst(e) im Internet. Seine Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung. Während wir Menschen Domainnamen wie www.ceilers-news.de bevorzugen, die wir uns leicht merken können, arbeiten die Rechner mit IP-Adressen wie 213.133.104.47. Sog. "Name Server" dienen der Zuordnung von Domainnamen zu IP-Adressen.

Wenn Sie in Ihrem Browser in die Adresszeile www.ceilers-news.de eingeben, sendet Ihr Rechner eine Anfrage an seinen zuständigen Nameserver und fragt ihn nach der zugehörigen IP-Adresse (1. in Abb. 1).

Es gibt zwei Arten von DNS-Anfragen: rekursive und nichtrekursive. Ein Client, z.B. Ihr Rechner, stellt i.d.R. eine rekursive Anfrage, d.h. er möchte die endgültige Antwort erhalten. Nameserver untereinander verwenden nichtrekursive Anfragen: Jeder Server nennt nur die IP-Adressen, die er selbst verwaltet. Kennt er die IP-Adresse eines Domain-Namens nicht, nennt er einen Nameserver, der die Antwort kennen könnte. Der Anfragende wird so zum zuständigen Nameserver vermittelt, der dann die gewünschte IP-Adresse nennt.

Ihr Nameserver kennt die Adresse sehr wahrscheinlich selbst nicht, daher fragt er einen Nameserver, der sie kennen könnte (2. in Abb. 1). Kennt der sie auch nicht, antwortet er mit der Adresse eines anderen Nameservers, der die Adresse wahrscheinlich kennt (3. in Abb. 1). Der Client fragt dann diesen Nameserver (4. in Abb. 1), der entweder mit der IP-Adresse (5. in Abb. 1) oder einem anderen Nameserver antwortet.

Spätestens der für die Toplevel-Domain .de zuständige Nameserver weiß, welcher Nameserver für www.ceilers-news.de zuständig ist, und dieser Nameserver kennt auf jedem Fall die zugehörige IP-Adresse. Aber so weit müssen wir in diesem Fall gar nicht in die Materie eintauchen. Halten wir einfach fest: Der für ihren Rechner zuständige Nameserver sorgt dafür, dass Ihr Rechner zu einem Domainnamen die für die Kommunikation mit dem zugehörigen Server benötigte IP-Adresse erfährt. Der Nameserver ist also sozusagen eine Telefonauskunft für das Internet.

Abb. 1: Eine DNS-Anfrage nach www.ceilers-news.de (Klick für großes Bild)

Was macht ein DNS-Changer

Ein DNS-Changer ändert nun genau diesen Nameserver. Genauer: Er tauscht die vorhandene Adresse des eigentlich zuständigen Nameservers gegen die Adresse eines anderen Nameservers aus. Der steht i.A. unter der Kontrolle der Cyberkriminellen und erlaubt es ihnen, auf die DNS-Anfragen nach beliebigen mit der richtigen oder einer falschen IP-Adresse zu antworten. Mit anderen Worten: Die Cyberkriminellen bestimmen, was Sie im Internet zu sehen bekommen und welche Dienste sie nutzen können bzw. müssen.

Das ergibt natürlich vielfältige Anwendungsmöglichkeiten:

• Durch Umleitung auf einen präparierten Webserver unter der Kontrolle der Cyberkriminellen sind raffinierte Phishing-Angriffe möglich, die nicht zwingend durch falsche Zertifikate für HTTPS-geschützte Verbindungen auffallen. Mit etwas Social Engineering, vor allem in Form einer glaubwürdigen Erklärung, werden viele Opfer das falsche Zertifikat oder eine ungeschützte Verbindung akzeptieren.
• Beim Download von Software können präparierte Programme eingeschleust werden.
• Suchanfragen können abgefangen und mit falschen Ergebnissen, die die Opfer auf Seiten der Cyberkriminellen locken, beantwortet werden.
• Die Werbung in Websites kann durch andere Werbung ausgetauscht werden, von der die Cyberkriminellen profitieren.
• Die Cyberkriminellen können für beliebige Websites Traffic generieren, indem sie ihre Opfer zu diesen Websites umleiten, auch wenn die eigentlich ganz andere Seiten aufgerufen haben.
• usw. usf. ...

Was macht dieser DNS-Changer?

Die vom FBI ermittelten und von der estnischen Polizei aus dem Verkehr gezogenen Cyberkriminellen hinter dem DNS-Changer, vor dem zur Zeit das BSI warnt, hatten sich auf Betrug mit Werbung und Traffic spezialisiert. Die Cyberkriminellen ließen sich für Werbung auf ihren Websites bezahlen. Dabei wurde entweder pro Einblendung der Werbung oder pro Benutzerklick auf die Werbung abgerechnet. Statt nun brav die eigenen Websites mit interessanten Inhalten zu füllen und auf Benutzer zu warten, setzten die Cyberkriminellen auf den DNS-Changer.

Die Cyberkriminellen warteten darauf, dass die Opfer ihres DNS-Changers Suchmaschinen benutzten. Je nach Geschäftsmodell leiteten sie sie dann entsprechend ihren Anforderungen weiter bzw. manipulierten die an die Benutzer ausgelieferten Seiten.

Wurden die Cyberkriminellen pro Klick auf eine Werbung bezahlt, mussten sie ihre Opfer auf die Websites der eigenen Werbekunden umleiten. Bei diesem sog. "Click Hijacking" wurden die Opfer beim Klick auf ein Ergebnis der Suchmaschine zu anderen Websites umgeleitet. Dabei wurden auch Klicks auf "bezahlte Links", d.h. die Werbung in der Suchmaschine, umgeleitet, so dass die Suchmaschinen dabei Geld verloren.

Das FBI nennt dafür einige Beispiele:

• Beim Klick auf den Link zu Apples offizieller iTunes-Seite landeten die Opfer auf einer von Apple unabhängigen Website, die Apple-Software anbot.
• Beim Klick auf einen Link zu Netflix wurden die Opfer auf eine davon unabhängigen Website eines Unternehmens namens "BudgetMatch" umgeleitet.
• Statt beim US-Amerikanischen Finanzamt, dem Internal Revenue Service, landeten die Opfer auf der Website von H&R Block, einem Steuerberater.

Wurden die Cyberkriminellen pro eingeblendeter Werbung bezahlt, kam es zum sog. "Advertising Replacement Fraud": Die Werbung in den von den Opfern besuchten Websites wurde durch Werbung aus dem Angebot der Cyberkriminellen ersetzt. Das ist möglich, da die Werbung i.A. von speziellen Werbeanbietern heruntergeladen wird, so dass die Cyberkriminellen gezielt einzelne Abfragen zum Herunterladen von Werbung auf ihre eigenen Server umleiten konnten.

Auch hierfür nennt das FBI einige Beispiel:

• Auf der Homepage des Wall Street Journal wurde Werbung für die American Express "Plum Card" durch Werbung für "Fashion Girl LA." ersetzt.
• Auf Amazon.com wurde Werbung für den Internet Explorer 8 durch Werbung für einen E-Mail-Marketing-Anbieter ersetzt.
• Auf der Website von ESPN wurde Werbung für "Dr. Pepper Ten" durch Werbung für einen Timesharing-Anbieter ersetzt.

Die Cyberkriminellen erbeuteten dadurch mindestens 14 Millionen US-Dollar. Dabei gab es eine Vielzahl von Opfer:

• Die Suchmaschinen, die für entführte Klicks auf bezahlte Links nicht bezahlt wurden.
• Die Werbenden, die für Klicks interessierter Benutzer zahlten, stattdessen aber nur "Entführungsopfer" auf ihren Seiten hatten,
• die zusätzlich womöglich den guten Ruf der Werbenden gefährdeten, da sie ja auf Seiten landeten, die sie gar nicht besuchen wollten.
• Die Benutzer, die auf für sie nutzlosen Seiten landeten
• und deren Rechner u.U. mit weiterer Schadsoftware infiziert wurden, da der DNS-Changer zusätzlich die Aktualisierung von Virenscannern und System unterband.

Das Ende von "DNS-Changer"

Das FBI hat die bösartigen Nameserver der Cyberkriminellen beschlagnahmt und durch einwandfrei funktionierende Nameserver unter der Kontrolle des BIND-Entwicklers Internet Systems Consortium (ISC) ersetzt. Die werden aber nur 120 Tage betrieben und am 8. März abgeschaltet. Daher auch der aktuelle Aufruf des BSI, denn ohne Nameserver sind keine DNS-Anfragen möglich, so dass die betroffenen Rechner keine Server im Internet mehr erreichen können.

Das FBI wollte mit dem Austausch der DNS-Server verhindern, dass die Opfer der Cyberkriminellen schlagartig ihre Internetverbindung verlieren. Leider ist man dabei nicht konsequent genug vorgegangen, es wäre sicher kein technisches Problem gewesen, die betroffenen Benutzer z.B. beim ersten Aufruf einer Website auf eine Warnseite zu leiten statt ihnen eine einwandfrei funktionierende Internetverbindung vorzugaukeln. Mögliche rechtliche Probleme hätten sich sicher umgehen lassen.

Fakt ist: Die Schadsoftware auf den Rechnern der Opfer ist weiterhin aktiv, bzw. die manipulierten DNS-Einträge sind weiterhin gültig und fallen erst auf, wenn "das Internet" am 8. März ausfällt. Jedenfalls aus Sicht der Opfer.

Was ist zu tun?

Erst mal sollten Sie wie vom BSI empfohlen die Website www.dns-ok.de aufrufen. Verwenden Sie einen "falschen" Nameserver, landen Sie auf einer Warnseite mit weiterführenden Informationen, siehe Abb. 2.

Abb. 2: www.dns-ok.de bei Infektion mit "DNS-Changer" (Klick für großes Bild)

Jetzt müssen Sie erst mal den "DNS-Changer" los werden und die DNS-Einstellungen korrigieren. Dazu können Sie zum Teil den Hinweisen auf der Website www.dns-ok.de folgen. "Zum Teil" bedeutet konkret "Wenn nur Ihr Windows-Rechner oder Mac infiziert ist". Ein Sonderfall ist auf der Website nicht berücksichtigt worden: Der DNS-Changer, um den es hier geht, kann auch die DNS-Einstellungen Ihres Routers manipuliert haben. Wie Sie die prüfen und ggf. korrigieren können, verrät Ihnen am besten das Router-Handbuch. Es gibt auch eine allgemeine Anleitung vom FBI, die ist aber natürlich in englischer Sprache (PDF)

Im wesentlichen läuft es darauf hinaus, dass Sie sich auf der Weboberfläche des Routers anmelden und die DNS-Einstellungen aufrufen. Die "falschen" Nameserver liegen in den Adressbereichen

Vergleichen Sie zuerst die Zahl vor dem ersten Punkt. Beginnt keiner Ihrer DNS-Einträge mit 85, 67, 93, 77, 213 oder 64, besteht keine Gefahr. Andernfalls müssen Sie weiter vergleichen. Wurde einer der DNS-Einträge manipuliert, löschen Sie den falschen Eintrag. Danach ist der Router sauber, aber mindestens einer der Rechner in Ihrem lokalen Netz ist bzw. war mit dem DNS-Changer infiziert, der den Router manipuliert hat. Ggf. müssen Sie jetzt noch diesen Rechner, sehr wahrscheinlich ein Windows-System, finden und den DNS-Changer samt Folgen dort beseitigen.

Nach dem Aufräumen und bei sauberen System

Da der DNS-Changer auch das Herunterladen von Updates für viele Virenscanner und teilweise auch das System verhindert hat, besteht die Gefahr, dass Ihr System mit weiterer Schadsoftware infiziert wurde. Insbesondere wurde gemeldet, dass das Rootkit TDSS/Alureon/TDL4 in Verbindung mit dem DNS-Changer auftritt. Das hat u.a. die unangenehme Angewohnheit, weitere Schadsoftware nachzuladen.

Finden Sie Hinweise auf das Rootkit, sollten Sie ihr System neu installieren. Es gibt zwar Programme, die versuchen, ein Rootkit zu entfernen, da dessen wichtigste Funktion aber das "sich nicht entfernen lassen" ist, sollten Sie im Zweifelsfall davon ausgehen, dass die Cyberkriminellen bessere Programmierer als die des Rootkit-Löschprogramms sind und das Rootkit nicht vollständig entfernt werden kann.

Wenn Sie keinen von "DNS-Changer" verwendeten Nameserver verwenden, gibt die Website quasi "grünes Licht", siehe Abb. 3:

Abb. 3: www.dns-ok.de ohne Infektion mit "DNS-Changer" (Klick für großes Bild)

Das bedeutet aber nicht, dass Ihr System nicht evtl. doch von Schadsoftware infiziert ist. Es kann sogar ein DNS-Changer vorhanden sein, nur eben nicht der, nach dem die Website www.dns-ok.de "sucht". Denn die prüft nur, ob einer der bekannten Nameserver verwendet wird, eine weitergehende Prüfung gibt es nicht. Wenn Sie ihr System schon länger nicht mehr auf Schädlingsbefall geprüft haben, sollten Sie das jetzt vielleicht mal tun. Auch wenn Virenscanner nicht unbedingt zuverlässig sind. Aber zum Finden bekannter Schädlinge kann man sie schon mal einsetzen.

Carsten Eilers

Übersicht über alle Artikel zum Thema

"DNS-Changer" - Was ist ein DNS-Changer?

Standpunkt: "DNS-Changer" - welcher DNS-Changer ist gemeint?

Standpunkt: www.dns-ok.de ist harmlos

Standpunkt: www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?

Standpunkt: DNS-Changer ohne Ende?