DNS Changer: Google warnt Nutzer bei Infektion

Die Geschichte beginnt im Jahr 2007, als die Malware DNS Changer entdeckt wurde. Die schädliche Software leitet bei einem infizierten System den Datenverkehr eines Rechners durch Austausch des DNS-Servers um. Nutzer können so beispielsweise auf gefälschten Websites landen, die dann zu einen Phishing-Angriff genutzt werden.

Im November 2011 hat das FBI über 100 Server sichergestellt und in Zusammenarbeit mit europäischen Behörden die Betreiber des dazugehörigen Botnetzes verhaftet. Daraufhin wurden auch die manipulierten DNS-Server vom FBI durch korrekt arbeitende ersetzt, doch war es nicht möglich, sie sofort komplett abzuschalten. Denn dann wären Millionen von Nutzern, deren Rechner mit der Malware infiziert sind, ohne Vorwarnung vom Internet abgeschnitten gewesen.

Endgültige Abschaltung erst am 9. Juli 2012

Die Abschaltung der Server war dann für den 8. März 2012 geplant gewesen. Doch weil zu diesem Zeitpunkt immer noch extrem viele Zugriffe auf die Server erfolgten und demnach noch entsprechend viele Rechner mit dem DNS Changer infiziert waren, - laut DNS Changer Working Group (DCWG) rund 450.000 – wurde die Frist vom FBI verlängert. Endgültig abgeschaltet werden die Server nun nach aktuellem Stand der Dinge am 9. Juli 2012, denn an diesem Datum endet die richterliche Verfügung für das weitere Betreiben der beschlagnahmten Server.

Doch noch sind Medienberichten zufolge noch rund 350.000 Computer mit dem DNS Changer infiziert. Daher hat Google beschlossen, mit einer Warnmeldung auf den Befall mit der Malware aufmerksam zu machen. Google-Entwickler Damian Mischer erklärt:

Die Warnung erscheint oben auf der Seite mit den Suchergebnissen, und zwar bei normalen Suchvorgängen, Bildersuchen und Suche in Nachrichten.

In einem gelben Kasten erscheint eine Meldung „Your computer seems to be infected – Ihr Computer scheint infiziert zu sein“ - in verschiedenen Sprachen.

Google checkt IP-Adresse des Nutzers

Da die beschlagnahmten und jetzt vom FBI betriebenen Server eine bestimmte IP-Adresse verwenden, kann Google diese identifizieren und nimmt dann an, dass der entsprechende Rechner mit dem DNS Changer infiziert ist. Allerdings wird man sich nicht in allen Fällen herausfinden können, ob der eigene Computer betroffen ist. Wer auf Nummer sicher gehen will, der prüft über die Website www.dns-ok.de oder www.dns-ok.us ob der gerade genutzte Computer ein Opfer des DNS Changers geworden ist. Die deutsche Seite wird von der Telekom, dem Bundesamt für Sicherheit in der Informationstechnik, dem Bundeskriminalamt und Avira betrieben. Hier findet sich auch ein weiterführender Link mit Tipps was zu tun ist, sollte der PC oder Mac vom DNS Changer befallen sein.