08.12.2008, 16:11

Frank Ziemann

DNSchanger-Evolution

Malware installiert böswilligen DHCP-Server im Netz

Die bekannte Schädlingsfamilie "DNSchanger" manipuliert nicht nur die DNS-Einstellungen eines befallenen Rechners oder des DSL-Routers, neuerdings etabliert sie auch einen falschen DHCP-Dienst, der Web-Aufrufe umleitet.
falscher DHCP-Dienst

falscher DHCP-Dienst

Die Schädlinge der DNSchanger-Familie sind seit geraumer Zeit bekannt und wurden über die Zeit immer weiter entwickelt. Sie manipulieren stets die Ziel-Adressen von Web-Aufrufen, allerdings mit unterschiedlichen Methoden. Die neueste Masche ist nach einer Meldung des Internet Storm Centers die Installation eines Treibers, der sich im lokalen Netzwerk als DHCP-Server bekannt macht. So zieht er DNS-Anfragen lokaler Client-PCs auf sich und leitet sie um. Die Schädlinge zielen auch auf Macs.
Angefangen haben die DNSchanger mit Manipulationen an der HOSTS-Datei im Verzeichnis Windows\System32\drivers\etc, um aufgerufene Web-Adressen auf eine andere IP-Adresse umzulenken. Infizierte Rechner, deren Benutzer etwa die Bank-Website "www.XYZBank.com" aufrufen wollen, landen dann nicht bei der Bank sondern auf einem Server der Online-Kriminellen, ob wohl die korrekte Adresse im Browser angezeigt wird.
Die nächste Entwicklungsstufe versucht über die Web-basierte Administration einiger populärer DSL-Router deren DNS-Einstellungen zu manipulieren. So bleibt der Rechner des Opfers scheinbar unangetastet und weitere Computer im lokalen Netzwerk sind ebenfalls betroffen, obwohl der Schädling sie nie angefasst hat.
Die neueste Fassung der DNSchanger installiert einen legitimen Treiber namens "NDISProt" (ndisprot.sys), mit dessen Hilfe sie einen DHCP-Server simulieren. Ein DHCP-Server teilt den Rechnern im lokalen Netz IP-Adressen zu und weist ihnen den Weg ins Internet (Festlegung von Gateway und Nameserver). Diese Aufgabe hat normalerweise ein DSL-Router inne. Übernimmt ein anderer, kompromittierter PC diese Rolle, kann er den anderen Rechnern im Netzwerk falsche Nameserver-Adressen unterjubeln.
Diese Nameserver stehen unter der Kontrolle der Online-Kriminellen und liefern auf Anfrage falsche IP-Adressen. So landen die Aufrufe der Bank-Website auch wieder bei einem Web-Server der Betrüger. Das funktioniert völlig unabhängig vom Betriebssystem der Rechner im Netzwerk - es können zum Beispiel auch Macs sein oder Linux-Rechner sowie Internet-fähige Geräte wie Spielekonsolen.
Die Online-Kriminellen kommen so an die Anmeldedaten fürs Online-Banking, für eBay oder auch für Online-Spiele. Bei Symantec werden die neuen DNSchanger-Varianten als "Trojan.Flush.M" bezeichnet.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
70622
Content Management by InterRed