FBI macht DNSChanger am 9. Juli den Garaus

SicherheitVirus
fbi-logo

Nach Angaben der DNSChanger Working Group sind immer noch rund 350.000 Systeme mit dem Virus infiziert. Einer der Verantwortlichen wird jetzt an die USA ausgeliefert. Das FBI warnt, dass nach der Abschaltung der DNSChanger-Server Nutzer mit dem Virus infizierter Geräte keinen Internetzugriff mehr haben.

Das FBI hat bekannt gegeben, dass einer der Verantwortlichen hinter der Malware DNSChanger an die USA ausgeliefert wird. Gleichzeitig wies die Behörde darauf hin, dass sie die zur Malware gehörigen Server am 9. Juli abschalten wird. Hunderttausende Nutzer, deren Geräte infiziert sind, können dann nicht mehr auf das Internet zugreifen.

Das FBI hatte im November 2011 mehr als 100 Server sichergestellt, über die Cyberkriminelle ein Netzwerk infizierter Rechner manipuliert hatten. Die Behörde konnte die Server aber nicht abschalten, weil dann weltweit vermutlich Millionen Computer vom Internet abgeschnitten gewesen wären.

DNSChanger war 2007 entdeckt worden und hat weltweit mehrere Millionen Computer infiziert. Die Malware leitet den gesamten Datenverkehr eines Rechners um. Statt sich mit einem korrekt arbeitenden DNS-Server zu verbinden, kommuniziert er mit den Servern der Kriminellen. Zwar hat das FBI die manipulierten DNS-Server durch korrekt arbeitende ersetzt, doch auch sie sollen abgeschaltet werden. Ursprünglich war dafür der 8. März vorgesehen.

Nach Angaben der DNSChanger Working Group (DCWG) waren Anfang des Jahres noch rund 450.000 Systeme mit dem Virus infiziert. Mittlerweile ist die Zahl auf etwa 350.000 Rechner gesunken.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon Mitte Januar auf das Problem aufmerksam gemacht. Es riet Internetnutzern, ihren PC auf einen Befall mit der Schadsoftware zu testen. Gemeinsam mit dem Bundeskriminalamt und der Deutschen Telekom hat das BSI dafür die Testwebseite www.dns-ok.de eingerichtet.

Mit deren Hilfe lässt sich überprüfen, ob ein Rechner infiziert ist. Liegt keine Infektion vor, erhält der Nutzer eine grüne Statusmeldung mit dem Hinweis, dass sein System korrekt arbeitet. Wurde ein Gerät von DNS-Changer manipuliert, leuchtet eine Warnmeldung mit roter Statusanzeige auf. Dazu liefert das BSI eine Reihe von Empfehlungen, um die Systemeinstellungen zurückzusetzen und die Malware zu entfernen.

Nach Angaben des BSI handelt es sich in den meisten Fällen um ein relativ schwer zu entfernendes Rootkit namens “TDDS/TDL4”, das Schadsoftware aus dem Internet nachlädt. Diese wird vorrangig zum Ausspionieren von Nutzerdaten und Kontoinformationen genutzt. Die Behörde hat auch eine Beispielseite eingerichtet, wie die Warnung bei einem infizierten System aussieht.

[mit Material von Edward Moyer, News.com]