Trojaner mit eingebautem DHCP-Server

Trojaner, die auf dem PC die hosts-Datei oder DNS-Einträge manipulieren, um Anwender auf nachgemachte Webseiten umzuleiten, gibt es seit Längerem. Neuere Varianten des Schädlings DNSChanger starten auf infizierten PCs einen DHCP-Server, um auch nicht-infizierte Systeme im gleichen LAN auf die Webseiten der Kriminellen umzuleiten. Symantec und McAfee berichten, dass Trojan.Flush.M auf infizierten Systemen einen Netzwerktreiber (NDISPro) installiert, um DHCP-Anfragen anderer Rechner auf dem Netz mitlesen und beantworten zu können.

In den DHCP-Antworten stecken dann neben der IP-Adresse für das lokale Netz die Adressen der zwei betrügerischen DNS-Server 85.255.112.36 und 85.255.112.41. Damit können die Kriminellen jede DNS-Anfrage mit beliebigen IP-Adressen auflösen. Anwender, die etwa im Browser die Adresse ihrer Bank manuell eingeben, landen trotzdem auf einer Phishing-Seite. Allerdings gibt es zwischen dem legitimen und dem betrügerischen DHCP-Server ein Wettrennen, wer als Erster die Anfrage eines Clients beantwortet. Damit ist der Erfolg des Trojaners auch von der vorgefundenen Infrastruktur abhängig.

Immerhin kann der Trojaner aber auch die DNS-Einstellungen gänzlich fremder PCs durcheinander bringen, etwa wenn ein Anwender seinen unwissentlich infizierten Laptop in ein öffentliches WLAN einbucht. Fortan versucht er allen weiteren PCs beim Einbuchen seine manipulierten DHCP-Pakete unterzujubeln. Nach Angaben der Antivirenhersteller ist Trojan.Flush.M bislang noch nicht weit verbreitet. Nach ihrer Einschätzung kann aber ein einziger infizierter Rechner etwa in Unternehmensnetzen prinzipiell hunderte anderer Systeme beeinflussen. (dab)