FBI legt vermutlich 15.000 deutsche Internetanschlüsse lahm

Mit der Abschaltung der DNS-Server am heutigen Montagsmorgen, die bislang die Anfragen von DNSChanger-Opfern abfingen, hat das FBI vermutlich tausenden Internetnutzern aus Deutschland den Internetzugang gekappt.

In Pocket speichern vorlesen Druckansicht 186 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Am heutigen Montagmorgen gegen 6 Uhr deutscher Zeit hat das FBI die DNS-Server, welche die Anfragen von DNSChanger-Opfern abgefangen haben, wie angekündigt abgeschaltet. Zu diesem Zeitpunkt haben vermutlich noch rund 15.000 Nutzer mit IP-Adressen aus Deutschland (unique IPs) auf die Server zugegriffen, wie aus einem anonym veröffentlichten Auszug aus den Log-Files hervorgeht, der nach Informationen von heise Security von vergangenem Samstag stammt. International gab es Samstag demnach noch Zugriffe von rund 250.000 unterschiedlichen IP-Adressen.

Es ist davon auszugehen, dass sich seitdem wenig an den Zahlen geändert hat; schließlich konnten die Opfer bis heute wie gewohnt auf das Internet zugreifen. Im ersten halben Jahr nach der Zerschlagung des DNSChanger-Botnets bemerkte gerade mal rund ein Drittel der ursprünglich rund 35.000 betroffenen Nutzer aus Deutschland die Infektion. Unter anderem wurden diese Nutzer direkt von ihren Internetprovidern angeschrieben, darüber hinaus hat Google einen Warnhinweis angezeigt.

Wer in seinem Umfeld von plötzlichen Internetausfällen hört, sollte auf den möglichen Auslöser aufmerksam machen und auf den Assistenten des Anti-Botnet Beratungszentrums verweisen, mit dessen Hilfe man die Internetkonfiguration wieder reparieren kann. Die einfachste Maßnahme ist, auf betroffenen Systemen den von Google betriebenen DNS-Server 8.8.8.8 einzustellen. DNSChanger kann laut F-Secure die Netzwerkeinstellungen von Windows, Mac OS manipulieren sowie die Router-Konfigurationen von Geräten der folgenden Hersteller: A-Link, ASUS, D-Link, Linksys, Netgear und SMC.

Der Trojaner DNSChanger hat bis Ende 2011 die DNS-Einstellungen der Opfer manipuliert, wodurch die gestellten DNS-Anfragen fortan von den DNS-Servern der Abzocker beantwortet wurden. Die manipulierten Server beantworteten etwa die Anfrage nach Google.com mit einer falschen IP, unter der eine mit zusätzlicher Werbung bestückte Version der Suchmaschine angeboten wurde. Das Geld für die Werbeeinnahmen floss in die Taschen der Betrüger. Darüber hinaus nutzten sie DNSChanger unter anderem auch für Klickbetrug und den Verkauf nutzloser Antivirensoftware.

Update vom 09.07.2012: Die Hilfeseite des Anti-Botnetz Beratungszentrums ist von betroffenen Systemen über http://87.106.161.150 erreichbar. Statt wie oben beschrieben den Google-DNS-Server 8.8.8.8 einzutragen, kann man auch die automatische Konfiguration des DNS-Servers aktivieren; unter Windows heißt dieser Menüpunkt "DNS-Serveradresse automatisch beziehen". In diesem Fall sollte man unbedingt auch den im Router eingestellten DNS-Server überprüfen. (rei)