1810972

So erkennen Sie versteckte DNS-Adressabfragen

04.01.2014 | 10:01 Uhr |

Hat sich ein Schad-Code auf Ihrem PC eingeschlichen, schaut er meist erstmal im Internet nach, welche neuen Befehle seine kriminellen Hintermänner für ihn rausgesucht haben. Mit dem Tool DNS Query Sniffer von Nir Sofer kontrollieren Sie ein ganz bestimmtes Protokoll, über das neue Viren heute vermehrt Kontakt mit den

Früher nutzten Viren bevorzugt IRC-Server (Internet Relay Chat) mit dem entsprechenden IRC-Protokoll, um sich neue Befehle aus dem Internet zu holen. Doch die Kommunikation über diese und ähnliche Kanäle lässt sich recht gut von der Antiviren-Software überwachen und filtern. Aus diesem Grund verbreiten die Kriminellen seit Anfang 2012 immer häufiger Viren, die ihre Befehle über eine DNS-Abfrage (Domain Name System) abholen.

Eine DNS-Anfrage geht eigentlich dann von Ihrem PC aus, wenn Sie als Nutzer eine Webadresse in den Browser eingeben, etwa www.pcwelt.de. Da im Internet eine Verbindung von Rechnern aber nicht über solche Textadressen funktioniert, sondern über die sogenannten IP-Adressen, schaut ein Rechner bei einem DNS-Server nach, welche IP-Adresse etwa zu www.pcwelt.de gehört. Auch viele Tools und Browser-Erweiterungen verursachen DNS-Abfragen.

Das Tool DNS Query Sniffer entdeckt alle DNS-Anfragen, die von Ihrem PC ausgehen. Das sind meist erwünschte und harmlose Anfragen. Sie können aber auch von neuen Viren stammen.
Vergrößern Das Tool DNS Query Sniffer entdeckt alle DNS-Anfragen, die von Ihrem PC ausgehen. Das sind meist erwünschte und harmlose Anfragen. Sie können aber auch von neuen Viren stammen.

So prüfen Sie Ihren PC: Setzen Sie das Tool DNS Query Sniffer ein. Es erkennt alle DNS-Abfragen, die von Ihrem PC aus gestartet werden. Überwiegend sind das natürlich harmlose und erwünschte Anfragen. Sollte auf Ihrem PC aber ein Spionage-Code sein, der eine DNS-Abfrage startet, dann taucht auch diese im Protokoll von DNS Query Sniffer auf. Zu jeder Abfrage gibt das Tool die genau Uhrzeit an. Es kann aber nicht anzeigen, welches Programm die Abfrage verursacht hat. Starten Sie darum zudem das Programm Process Monitor . Es protokolliert alle aktiven Programme und hilft Ihnen, über den Zeitstemple von DNS Query das verantwortliche Programm für eine DNS-Abfrage zu finden. Der Process Monitor läuft ohne Installation, direkt nach einem Doppelklick auf Procmon.EXE.

Zurück zum Tool DNS Query Sniffer: Auch der Sniffer läuft ohne Installation. Doppelklicken Sie einfach auf die Datei Dnsquerysniffer.EXE. Im ersten Schritt müssen Sie den Netzwerk-Adapter auswählen, den Sie überwachen möchten. Ist Ihr PC per Kabel mit dem DSL-Router verbunden, wählen Sie hier Ihre Netzwerkkarte aus, bei einer WLAN-Verbindung ist es der WLAN-Chip. Nach der Auswahl startet die Protokollierung aller DNS-Abfragen automatisch.

In vielen Fällen erschließt sich automatisch, welches Programm welche Seite nachgefragt hat. Starten Sie etwa den Media-Player iTunes, dann tauchen bei DNS Query Sniffer umgehend Adressen auf wie init.itunes.apple.com, upp.itunes.apple.com, da die Software Kontakt mit Apple-Servern aufnimmt. Wenn Ihnen der Name einer Webadresse nichts sagt, können Sie diese testweise problemlos in den Browser eingeben. Gefährlich ist das meist nicht, denn es finden sich so gut wie nie Viren auf den Steuerungs-Servern von Virenverbreitern. Schließlich sollen diese Server möglichst lange unentdeckt bleiben. Schadcode würde sie aber schnell verdächtig machen.

Danach sollten Sie suchen: Ein Virus wird wahrscheinlich nur wenige Male pro Tag nach neuen Befehlen im Internet suchen. Entsprechen lange muss der Sniffer laufen. Damit das Protokoll nicht zu umfangreich wird, sollten Sie den DNS Query Sniffer dann starten, wenn Sie sonst nichts mit dem PC vorhaben. Lassen Sie den Rechner einige Stunden oder auch das ganze Wochenende laufen. Danach speichern Sie das Protokoll über „Anzeige -> HTML-Bericht für alle Einträge erstellen“. Suchen Sie in der Spalte „Hostname“ nach ungewöhnlich langen Einträgen und/oder nach Einträgen mit sinnlosen Zeichenfolgen. Haben Sie einen verdächtigen Eintrag gefunden, notieren Sie sich die genaue Zeit aus der Spalte „Abfragezeit“. Schauen Sie dann im englischsprachigen Tool Process Monitor in der Spalte „Time of Day“ nach, welches Programm zu dieser Zeit aktiv war und notieren sich seinen Namen. Zu diesem können sie dann über Google Infos einholen oder Sie laden die Datei auf www.virustotal.com hoch. Dort wird sie von über 40 Antiviren-Tools gescannt.

Übrigens: DNS-Abfragen sind natürlich nicht die einzigen Merkmale, an denen Sie einen Schad-Code erkennen können. Darum haben wir vier weiter Tools herausgesucht, mit denen Sie Viren und Spionage-Programmen auf die Schliche kommen können. Sie finden den Beitrag hier .

0 Kommentare zu diesem Artikel
1810972