Abschaltung der DNSChanger-Server: viel Lärm um nichts

SicherheitVirus

Berichte über Verluste des Internetzugangs bleiben aus. Die monatelangen Aufklärungskampagnen haben offenbar gewirkt. Den Traffic noch immer infizierter Rechner leiten ISPs über neu eingerichtete Server.

Die lange angekündigte Abschaltung der DNSChanger-Server ist kaum bemerkt worden, da die Zahl infizierter Computer durch Aufklärungskampagnen inzwischen erheblich zurückgegangen ist. Bei noch immer betroffenen Nutzern sprangen Internet Service Provider ein, die ihren Traffic über neu eingerichtete Server leiteten.

Als im November letzten Jahres ein international agierender Cybercrime-Ring aufgedeckt wurde, war von 4 Millionen Computern die Rede, die mit der Schadsoftware DNSChanger infiziert waren. Die Malware leitete bestimmte Anfragen von Computern mit Windows oder Mac OS X automatisch an manipulierte DNS-Server und spezielle Websites weiter. Wer iTunes besuchen wollte geriet beispielsweise auf die Site einer Firma, die angeblich Apple-Software verkauft. Die Betrüger sollen durch die gezielten Umleitungen insgesamt 14 Millionen Dollar eingenommen haben.

Die als Horrorszenario ausgemalte Abschaltung der DNSChanger-Server entpuppte sich als harmlose Aktion (Screenshot: ITespresso).

Um den betroffenen Nutzern nicht den Internetzugang zu nehmen, schaltete das FBI die Kommandoserver nicht sofort ab. Es ersetzte sie vielmehr durch eigene Server für die Namensauflösung, kündigte aber zugleich deren spätere Abschaltung an. Die erfolgte schließlich am 9. Juli. Viele Organisationen, darunter auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) machten monatelang auf das Problem aufmerksam. Sie richteten Testwebsites ein und gaben Empfehlungen, um die Systemeinstellungen zurückzusetzen und die Malware zu entfernen. Google warnte auf seinen Suchseiten Nutzer von Clients, die mit DNSChanger infiziert waren und in den vergangenen Tagen sorgten einige Anbieter von Antivirenlösungen mit von ihnen eingerichteten Testseiten- und diensten noch einmal für Aufmerksamkeit.

Nach der Abschaltung kam jedoch die schnelle Entwarnung. “Wir haben keinen einzigen Bericht über jemanden gesehen, der den Internetzugang verloren hat”, sagte Johannes Ullrich, Sicherheitsforscher des Sans Institute. “Alles nur Hype. Es passiert gar nichts.”

Am 4. Juli gab es noch geschätzte 45.600 infizierte Rechner in den USA sowie 252.000 weltweit. Laut FBI-Sprecherin Jenny Shearer verringerten sie sich auf 41.800 und 211.000 kurz vor der Abschaltung. Aus Deutschland waren am Wochenende noch knapp 15.000 infizierte Rechner gemeldet worden.

Verbliebene Infektionen wurden teilweise von Internet Service Providern aufgefangen. “Bei der kleinen Anzahl von Kunden, deren Computer den Virus haben könnten, leiten wir den Traffic auf dafür eingerichtete Server um, damit sie ihre Computer weiterhin nutzen können”, erklärte AT&T-Sprecher Mark Siegel in einer E-Mail an News.com. “Das bleibt so bis Ende des Jahres, so dass diese Nutzer noch mehr Zeit haben, um den Virus von ihren Computern zu entfernen.”

“Das FBI ist raus – und die ISPs sind drin”, berichtete F-Secure in einem Blogeintrag. Das FBI lobte sich selbst für seine Leistung. “Das FBI hatte nie zuvor eine solche Aufgabe, mit privaten und behördlichen Partnern ein Sicherheitsnetz zu schaffen”, sagte Sprecherin Shearer. “Es zeigt, dass Lösungen gegen Cyberverbrechen möglich sind, die in der Vergangenheit vielleicht nicht erforderlich waren. Aber so wie sich die Cyberverbrecher anpassen können, so können es auch die Strafverfolgungsbehörden.”

[mit Material von Elinor Mills, News.com]