Der Trojaner namens «DNS-Changer» greift eine zentrale Einstellung eines Computers an: die DNS-Server. Damit ein Computer weiss, wo z.B. «drs3.ch» ist, fragt das System zunächst bei einem DNS-Server (Domain Name System) nach. Dieser meldet eine IP-Adresse zurück, auf die sich der Computer dann verbinden kann. Wenn mit diesen DNS-Einstellungen etwas nicht stimmt, können Internet-Adressen nicht mehr «aufgelöst» (die Text-Adresse in die Zahl einer IP-Adresse umwandeln) werden, und der betroffene Computer ist scheinbar abgetrennt vom Internet.

Gegen Geld auf die Konkurrenz umleiten
Eine Gruppe von Kriminellen machte sich dies nun zunutze, indem sie heimlich Computer infizierten und dort die DNS-Einstellungen veränderten. Statt diese auf offizielle DNS-Server zugreifen zu lassen, leiteten die Kriminellen sie auf eigene, gefälschte DNS-Server um (deshalb auch der Name «DNS Changer»). Damit hatten sie unter Kontrolle, auf welche Internet-Seiten ein infizierter Computer zugreifen kann.

Die Kriminellen nutzten dies, um Benutzer umzuleiten. So wurde beispielsweise jemand, der auf einer Website Musik kaufen wollte, auf den Shop eines Konkurrenten umgeleitet. Weil sie diese «Dienstleistung» verkauften, verdienten die Kriminellen damit Geld - es sollen gegen 14 Millionen US-Dollar gewesen sein. Auch dank der Menge der infizierten Computer, weltweit rund 4 Millionen Maschinen.

Das FBI als Internet-Anbieter
Im letzten Herbst kam das FBI der Gruppe allerdings auf die Schliche und verhaftete zusammen mit der estnischen Polizei sechs Esten. Zusammen mit einem noch flüchtigen Russen wurden sie mittlerweile angeklagt. Laut Ankläger sollen die Gruppe seit 2007 operieren.

Im Zuge der Verhaftung beschlagnahmte das FBI auch die falschen DNS-Server. Weil infizierte Computer ohne diese DNS-Server vom Internet abgetrennt würden, entschloss man sich, die gefälschten DNS-Server weiter zu betreiben - natürlich ohne weiterhin auf falsche Webseiten umzuleiten.

Das FBI will diese DNS-Server schon länger abschalten - schliesslich ist es nicht die Aufgabe des FBI, in die Rolle eines Internet-Anbieters zu schlüpfen. Nachdem der erste Abschalttermin noch verschoben wurde, ist es heute nun soweit.

Nur noch wenige betroffen
Mittlerweile wurde allerdings über 99% der betroffenen Computer desinfiziert - die wenigen verbleibenden werden heute merken, dass etwas nicht stimmt. In der Schweiz sind noch rund 400 Computer betroffen.

Wer überprüfen will, ob ein Computer vom «DNS-Changer» betroffen ist, kann das hier beim DNS-Check von SWITCH tun.

Und wer eine Anleitung zur Desinfektion braucht, findet eine hier.

Guido Berger

DNS-Check (SWITCH Security)

DNS Changer Fix (DNS Changer Working Group)

Überprüfung von Computern auf die Schadsoftware «DNS-Changer» (Melde- und Analysestelle Informationssicherung MELANI)