Malware manipuliert DNS-Einstellungen
PhishinGoogle-Mails enthalten einen Download-Link zu einem Schädling, der DNS-Einstellungen verändert.
Die Websense Security Labs berichten über eine weitere Masche bei PhishinGoogle-Mails. In vorgeblich von Paypal stammenden Mails ist ein Link zu einer Datei enthalten, die als "PayPal security tool" ausgegeben wird. Das angebliche Sicherheitsprogramm verändert die DNS-Einstellungen auf dem PC, sodass Anwender unbemerkt auf eine gefälschte Website geleitet werden.
Dazu ändert das gerade 1,5 KB kleine Programm in den Netzwerk-Einstellungen den Eintrag für den Name-Server und löscht sich danach selbst. Der PC fragt dann nicht mehr bei dem Name-Server des Internet-Providers nach der IP-Adresse, die zur URL "www.paypal.com" gehört. Vielmehr nimmt er Kontakt zu einen DNS-Server der Betrüger auf.
Anwender werden dann trotz korrekt erscheinender Web-Adresse, die aus den Favoriten / Lesezeichen des Browsers aufgerufen wird, zu einer gefälschten Login-Seite geleitet. Hier werden dann, anders als beim echten Paypal-Login, diverse persönliche Daten abgefragt.
Der Text der vorgeblichen Paypal-Mails beginnt mit einer Frage wie "Security Measures - Are You Traveling?" und behauptet, es habe ungewöhnliche Aktivitäten auf dem Paypal-Konto des Empfängers gegeben. Zwechs Sicherheitsüberprüfung solle er sich das "PayPal security tool" herunter laden. Der Link verweist auf eine IP-Adresse und dort auf eine Datei namens "PayPal-2.5.200-MSWin32-x86-2005.exe".
Die Erkennung durch Virenscanner ist noch sehr unvollständig:
| AntiVir | TR/DNSChanger.AL |
|---|---|
| eTrust (VET)* | Win32.DNSChanger.A |
| Ewido | Trojan.DNSChanger.al |
| F-Secure | Trojan.Win32.DNSChanger.al |
| Kaspersky | Trojan.Win32.DNSChanger.al |
| McAfee* | DNSChanger.c trojan |
| Trend Micro* | TROJ_DNSCHANGE.F |
* Erkennung derzeit nur mit Virendefinitionen, die noch nicht in den regulären Updates enthalten sind
Es muss davon ausgegangen werden, dass diese Phishing-Masche in nächster Zeit nicht nur bei Paypal-Benutzern versucht werden wird. Haben die Täter einen PC erstmal in dieser Weise kompromittiert, können sie prinzipiell beliebige Web-Adressen, der ein Anwender eingibt, auf gefälschte Seiten umlenken. Dazu ist weder eine Änderung in der HOSTS-Datei nötig, noch ein ständig auf dem PC aktiver Schädling. Es genügt ein kleines Programm, das einmal die Netzwerk-Einstellungen ändert und sich dann selbst löscht.
