Computervirus „DNS-Changer“: Virus dreht Opfern das Internet ab
Mit Kampagnen und Testprogrammen haben Behörden PC-Nutzer vom Virus „DNS-Changer“ befreien wollen. Zehntausende können ab Montag nicht mehr ins Internet.
Lieber ein Ende mit Schrecken als ein Schrecken ohne Ende – das ist nun das Motto des FBI. Am kommenden Montag werden sie die Server abschalten, die viele Opfer des Virus „DNS-changer“ seit über einem halben Jahr online halten. Danach müssen sie sehen, wie sie ihren Rechner wieder ins Internet bekommen.
Bereits im November 2011 hatte die US-Bundespolizei sechs Online-Kriminelle verhaftet, die den Virus im Internet verbreitet hatten. Über vier Jahre hatten die Bande alles getan, um ihren Virus auf die Rechner möglichst vieler Nutzer zu schleusen. Mit Erfolg: Alleine in den USA war eine halbe Million Rechner befallen, insgesamt über vier Millionen in 100 Ländern.
Dabei attackierte die Schadsoftware eine zentrale Schwachstelle jedes Internet-Rechners: Die so genannten DNS-Einstellungen, die dem Rechner den Weg zu jedem anderen Ziel im Internet weisen.
Statt die Informationen von ihrem eigenen Provider zu beziehen, wo zum Beispiel die Seite der taz zu erreichen ist, fragten die betroffenen Rechner künftig bei dem DNS-Server der Kriminellen an.
14 Millionen mit Web-Umleitungen verdient
Der konnte die Opfer beliebig umleiten. Ein lukratives Geschäft: Die Kriminellen leiteten die Rechner auf Seiten um, die sie selbst betrieben und auf der Werbung geschaltet waren. Sie konnten auch schlicht die Werbung auf normalen Webseiten austauschen. 14 Millionen Dollar sollen die Viren-Programmierer so kassiert haben.
An sich ist der Virus relativ harmlos – andere Botnetze übernehmen die volle Kontrolle über Rechner und nutzen diese Macht aus, um Kreditkarten-Informationen zu stehlen oder andere Infrastrukturen zu attackieren.
Durch die Harmlosigkeit des „DNS-Changer“ blieb vielen Betroffenen dessen Aktivität ganz verborgen. Problem: Die Schadsoftware hat eine Funktion, um installierte Anti-Viren-Programme vom Update abzuhalten. Somit kann der Nutzer weder den DNS-Changer, noch andere Schadprogramme erkennen.
Nachdem die Kriminellen gefasst waren, hatten die Polizisten ein Problem: Würden sie die Rechner der Kriminellen abschalten, wären mit einem Mal alle infizierten Rechner vom Internet getrennt. Also installierte das FBI DNS-Server, die den Betroffenen den normalen Weg den Webseiten weisen sollten. Für die Betroffenen änderte das nichts: Ihr Rechner lief weiterhin normal – statt der betrügerischen Werbung sahen sie die normale Werbung aus Webseiten.
Großprovider für virenverseuchte Rechner
Doch ewig konnte das Spiel nicht weitergehen: Das FBI wollte nicht zum Großprovider für virenverseuchte Rechner werden und die infizierten Rechner waren in immer größerer Gefahr, sich andere, noch gefährlichere Viren einzufangen. Also suchten die Strafermittler die Zusammenarbeit mit Providern, um die Viren von den Rechnern zu löschen.
Theoretisch wäre es möglich gewesen, die Rechner erneut mit Programmen zu infizieren, sie die Einstellungen des Rechners zurückversetzen. Doch ein solches vorgehen wäre illegal und könnte unvorhersehbare Folgen für die Betroffenen haben.
Ob man selbst betroffen ist, ist einfach festzustellen. So haben deutsche Provider die Webseiten DNS-OK und DNSChanger.eu aufgesetzt, die einfach feststellen können, ob der Rechner die vom Virus gesetzten DNS-Server verwendet. Auch Google zeigt bei identifizierten Betroffenen eine Warnmeldung an. Die Kur ist relativ einfach: Die Fehlermeldungen weisen auf ein Programm, das den Schädling und seine Folgen beseitigt. Wer damit bis Montag wartet, kommt aber nicht mehr auf die Webseite und muss einen anderen Rechner benutzen um sich das rettende Anti-Viren-Programm herunterzuladen – oder gleich Windows neu installieren.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Merz’ Anbiederung an die AfD
Das war’s mit der Brandmauer
Rechtsdrift der Union
Merz auf dem Sprung über die Brandmauer
Christian Drosten
„Je mehr Zeit vergeht, desto skeptischer werde ich“
Grünes Desaster
Der Fall Gelbhaar und die Partei
#MeToo nach Gelbhaar-Affäre
Glaubt den Frauen – immer noch
Tabakkonsum
Die letzte Zigarette lieber heute als morgen rauchen