Computervirus „DNS-Changer“: Virus dreht Opfern das Internet ab

Lieber ein Ende mit Schrecken als ein Schrecken ohne Ende – das ist nun das Motto des FBI. Am kommenden Montag werden sie die Server abschalten, die viele Opfer des Virus „DNS-changer“ seit über einem halben Jahr online halten. Danach müssen sie sehen, wie sie ihren Rechner wieder ins Internet bekommen.

Bereits im November 2011 hatte die US-Bundespolizei sechs Online-Kriminelle verhaftet, die den Virus im Internet verbreitet hatten. Über vier Jahre hatten die Bande alles getan, um ihren Virus auf die Rechner möglichst vieler Nutzer zu schleusen. Mit Erfolg: Alleine in den USA war eine halbe Million Rechner befallen, insgesamt über vier Millionen in 100 Ländern.

Dabei attackierte die Schadsoftware eine zentrale Schwachstelle jedes Internet-Rechners: Die so genannten DNS-Einstellungen, die dem Rechner den Weg zu jedem anderen Ziel im Internet weisen.

Statt die Informationen von ihrem eigenen Provider zu beziehen, wo zum Beispiel die Seite der taz zu erreichen ist, fragten die betroffenen Rechner künftig bei dem DNS-Server der Kriminellen an.

14 Millionen mit Web-Umleitungen verdient

Der konnte die Opfer beliebig umleiten. Ein lukratives Geschäft: Die Kriminellen leiteten die Rechner auf Seiten um, die sie selbst betrieben und auf der Werbung geschaltet waren. Sie konnten auch schlicht die Werbung auf normalen Webseiten austauschen. 14 Millionen Dollar sollen die Viren-Programmierer so kassiert haben.

An sich ist der Virus relativ harmlos – andere Botnetze übernehmen die volle Kontrolle über Rechner und nutzen diese Macht aus, um Kreditkarten-Informationen zu stehlen oder andere Infrastrukturen zu attackieren.

Durch die Harmlosigkeit des „DNS-Changer“ blieb vielen Betroffenen dessen Aktivität ganz verborgen. Problem: Die Schadsoftware hat eine Funktion, um installierte Anti-Viren-Programme vom Update abzuhalten. Somit kann der Nutzer weder den DNS-Changer, noch andere Schadprogramme erkennen.

Nachdem die Kriminellen gefasst waren, hatten die Polizisten ein Problem: Würden sie die Rechner der Kriminellen abschalten, wären mit einem Mal alle infizierten Rechner vom Internet getrennt. Also installierte das FBI DNS-Server, die den Betroffenen den normalen Weg den Webseiten weisen sollten. Für die Betroffenen änderte das nichts: Ihr Rechner lief weiterhin normal – statt der betrügerischen Werbung sahen sie die normale Werbung aus Webseiten.

Großprovider für virenverseuchte Rechner

Doch ewig konnte das Spiel nicht weitergehen: Das FBI wollte nicht zum Großprovider für virenverseuchte Rechner werden und die infizierten Rechner waren in immer größerer Gefahr, sich andere, noch gefährlichere Viren einzufangen. Also suchten die Strafermittler die Zusammenarbeit mit Providern, um die Viren von den Rechnern zu löschen.

Theoretisch wäre es möglich gewesen, die Rechner erneut mit Programmen zu infizieren, sie die Einstellungen des Rechners zurückversetzen. Doch ein solches vorgehen wäre illegal und könnte unvorhersehbare Folgen für die Betroffenen haben.

Ob man selbst betroffen ist, ist einfach festzustellen. So haben deutsche Provider die Webseiten DNS-OK und DNSChanger.eu aufgesetzt, die einfach feststellen können, ob der Rechner die vom Virus gesetzten DNS-Server verwendet. Auch Google zeigt bei identifizierten Betroffenen eine Warnmeldung an. Die Kur ist relativ einfach: Die Fehlermeldungen weisen auf ein Programm, das den Schädling und seine Folgen beseitigt. Wer damit bis Montag wartet, kommt aber nicht mehr auf die Webseite und muss einen anderen Rechner benutzen um sich das rettende Anti-Viren-Programm herunterzuladen – oder gleich Windows neu installieren.