70622

Malware installiert böswilligen DHCP-Server im Netz

08.12.2008 | 16:11 Uhr |

Die bekannte Schädlingsfamilie "DNSchanger" manipuliert nicht nur die DNS-Einstellungen eines befallenen Rechners oder des DSL-Routers, neuerdings etabliert sie auch einen falschen DHCP-Dienst, der Web-Aufrufe umleitet.

Die Schädlinge der DNSchanger-Familie sind seit geraumer Zeit bekannt und wurden über die Zeit immer weiter entwickelt. Sie manipulieren stets die Ziel-Adressen von Web-Aufrufen, allerdings mit unterschiedlichen Methoden. Die neueste Masche ist nach einer Meldung des Internet Storm Centers die Installation eines Treibers, der sich im lokalen Netzwerk als DHCP-Server bekannt macht. So zieht er DNS-Anfragen lokaler Client-PCs auf sich und leitet sie um. Die Schädlinge zielen auch auf Macs.

Angefangen haben die DNSchanger mit Manipulationen an der HOSTS -Datei im Verzeichnis Windows\System32\drivers\etc , um aufgerufene Web-Adressen auf eine andere IP-Adresse umzulenken. Infizierte Rechner, deren Benutzer etwa die Bank-Website "www.XYZBank.com" aufrufen wollen, landen dann nicht bei der Bank sondern auf einem Server der Online-Kriminellen, ob wohl die korrekte Adresse im Browser angezeigt wird.

Die nächste Entwicklungsstufe versucht über die Web-basierte Administration einiger populärer DSL-Router deren DNS-Einstellungen zu manipulieren. So bleibt der Rechner des Opfers scheinbar unangetastet und weitere Computer im lokalen Netzwerk sind ebenfalls betroffen, obwohl der Schädling sie nie angefasst hat.

Die neueste Fassung der DNSchanger installiert einen legitimen Treiber namens "NDISProt" ( ndisprot.sys ), mit dessen Hilfe sie einen DHCP-Server simulieren. Ein DHCP-Server teilt den Rechnern im lokalen Netz IP-Adressen zu und weist ihnen den Weg ins Internet (Festlegung von Gateway und Nameserver). Diese Aufgabe hat normalerweise ein DSL-Router inne. Übernimmt ein anderer, kompromittierter PC diese Rolle, kann er den anderen Rechnern im Netzwerk falsche Nameserver-Adressen unterjubeln.

Diese Nameserver stehen unter der Kontrolle der Online-Kriminellen und liefern auf Anfrage falsche IP-Adressen. So landen die Aufrufe der Bank-Website auch wieder bei einem Web-Server der Betrüger. Das funktioniert völlig unabhängig vom Betriebssystem der Rechner im Netzwerk - es können zum Beispiel auch Macs sein oder Linux-Rechner sowie Internet-fähige Geräte wie Spielekonsolen.

Die Online-Kriminellen kommen so an die Anmeldedaten fürs Online-Banking, für eBay oder auch für Online-Spiele. Bei Symantec werden die neuen DNSchanger-Varianten als "Trojan.Flush.M" bezeichnet.

0 Kommentare zu diesem Artikel
70622