In den Medien und auch im Blog von Arktis ist in diesem Jahr mehrfach vor der Schadsoftware DNS-Changer gewarnt worden. Das Kürzel DNS steht hier für „Domain Name System“ – dieses ist für die Umwandlung von URLs in IP-Adressen verantwortlich. Bei vielen Computer-Systemen und Routern hatten Kriminelle die Einstellung der DNS-Servern mit Hilfe des DNS-Changer so manipuliert, dass ahnungslose Internetnutzer auf falsche Server umgeleitetet wurden. Die angezeigten Websites sahen dann zwar aus wie die aufgerufenen Websites, wurden aber von den Kriminellen betrieben. Auch Google.com befand sich unter den Opfern der Kriminellen.
Am 9. Juli 2012 hat das FBI um 6 Uhr mitteleuropäischer Zeit die Server der Kriminellen abgeschaltet. Wer jetzt noch mit einem infiziertem Computer ins Internet will und im Adressfeld des Browsers eine URL eingibt (wie z.B. https://www.arktis.de/blog), der bekommt von seinem Browser nur „Server nicht erreichbar“ angezeigt – die Anfrage läuft ins Leere. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte früher erklärt, dass nach Abschaltung der Server eine Nutzung des Internet nicht mehr möglich ist. DAS IST FALSCH! Ein infizierter Computer kann jetzt zwar keine URLs mehr aufrufen, weil er keinen Zugriff auf das „Domain Name System“ hat, aber wenn eine IP-Adresse direkt im Browser eingegeben wird, dann kann der Computer diese noch immer verarbeiten.
Welche Computer und Router sind vom DNS-Changer betroffen? In der Presse wird eine Schätzung des BSI zitiert, nach der sind in Deutschland noch rund 30.000 Computer mit dem DNS-Changer infiziert sind. Nach Einschätzung von US-Sicherheitsexperten sollen es weltweit noch rund 300.000 sein. Infiziert sind Computer mit Mac OS und mit Windows. Bei den Routern sind Geräte der folgenden Hersteller betroffen: A-Link, ASUS, D-Link, Linksys, Netgear und SMC. Die Angaben des BSI sind für deutsche Mac-Nutzer recht dürftig, insbesondere eine Schätzung über die Anzahl der betroffenen Macintosh-Computer gibt es nicht – es dürften jedoch einige sein. Nach Erkenntnissen des FBI sind insbesondere die Kunden von Apples iTunes-Store im Visier der Kriminellen gewesen. Die Kunden wurden per DNS-Changer zu einer Website umgeleitet, die zwar wie der iTunes-Store aussah, aber mit Apple in keinerlei Verbindung stand.
Wie kann man den eigenen Mac auf den DNS-Changer testen? Man kann einen Selbsttest durchführen. Das deutsche Anti-Botnet Beratungszentrum bietet unter der IP-Adresse „http://87.106.161.150/“ einen DNSChanger-Check. Gebt die IP-Adresse einfach im Adressfeld des Browsers ein und folgt auf der Website des Beratungszentrums den Anweisungen – dann wird Euch angezeigt, ob Euer Mac mit dem DNS-Changer infiziert ist oder nicht.
Wenn Euer Browser die IP-Adresse „http://87.106.161.150/“ nicht akzeptiert, dann müsst Ihr am Mac die DNS-Konfiguration selbst überprüfen. Das FBI hat dazu folgende kurze Anleitung veröffentlicht:
„If you are using an Apple computer, click on the Apple in the top left corner and choose System Preferences. Then, from the Apple System Preferences window, choose Network. The Apple Network pane will show a number of possible connections on the left side. Choose the one that is active for you and click on the Advanced button in the right lower corner. Then choose DNS from the options to show the DNS servers you are using.
Compare whether your computer has DNS servers listed in the number ranges listed below (To make the comparison between the computer’s DNS servers and this table easier, start by comparing the first number before the first dot. For example, if your DNS servers do not start with 85 you can move on to the next number. If your servers start with any of those numbers, continue the comparison):
- 85.255.112.0 – 85.255.127.255
- 67.210.0.0 – 67.210.15.255
- 93.188.160.0 – 93.188.167.255
- 77.67.83.0 – 77.67.83.255
- 213.109.64.0 – 213.109.79.255
- 64.28.176.0 – 64.28.191.255
If your computer is configured to use one or more of the rogue DNS servers, it may be infected with DNSChanger malware.“
Die vollständige und illustrierte Anleitung bietet das FBI als PDF zum Dowload – auch für Windows-Nutzer. Vom FBI wird auch der Service von dcwg.org empfohlen. Bei DCWG findet Ihr unter Checking OSX (MAC) for Infections sowohl eine weitere Erklärung für „Manually Checking for DNS Changer Infections“, als auch eine Liste mit „Security Organizations“ die Alternativen zum DNSChanger-Check des Anti-Botnet Beratungszentrums bieten.
Was könnt Ihr machen, wenn Euer Mac mit dem DNS-Changer infiziert ist? Laut Heise und Mac & i ist die einfachste Maßnahme, den betroffenen Computern einfach auf den DNS-Server 8.8.8.8 einzustellen – dieser wird von Google betrieben. Damit hat man jedoch noch nicht den Schädling vom Computer entfernt. Wer einen infizierten Mac hat, der muss diesen auch reinigen. Beim DNSChanger-Check bekommt ihr dazu einige Tipps vom Beratungszentrum. Bei dcwg.org findet Ihr zur Frage What if I’m infected? eine Liste mit Tools zur Entfernung des Schädlings (darunter MacScan von securemac.com) und den Hinweis auf Apple’s Security Page with pointers to keep your MAC safe. Statt der Product Security empfehlen wir die Support Communities von Apple. Da gibt es reichlich Antworten zum DNS-Changer – und falls Ihr noch Fragen habt, dann könnt Ihr diese dort am besten direkt stellen.
