DNSchanger wieder unterwegs

Malware ändert DNS-Einstellungen im LAN

Eine neue Variante des DNSchanger-Schädlings macht derzeit die Runde. Die Malware installiert im LAN einen eigenen DHCP-Server und leitet Anfragen auf manipulierte Webseiten um.

Die Schädlinge der DNSchanger-Familie sind seit geraumer Zeit bekannt und wurden über die Zeit immer weiter entwickelt. Sie manipulieren stets die Ziel-Adressen von Webaufrufen, allerdings mit unterschiedlichen Methoden. Die neueste Masche ist nach einer Meldung des Internet Storm Centers die Installation eines Treibers, der sich im lokalen Netzwerk als DHCP-Server bekannt macht. So zieht er DNS-Anfragen lokaler Client-PCs auf sich und leitet sie um. Die Schädlinge zielen auch auf Macs.

Angefangen haben die DNSchanger mit Manipulationen an der HOSTS-Datei im Verzeichnis Windows\System32\drivers\etc, um aufgerufene Webadressen auf eine andere IP-Adresse umzulenken. Infizierte Rechner, deren Benutzer etwa die Bank-Website "www.XYZBank.com" aufrufen wollen, landen dann nicht bei der Bank, sondern auf einem Server der Online-Kriminellen, obwohl die korrekte Adresse im Browser angezeigt wird.

Die nächste Entwicklungsstufe versucht über die webbasierte Administration einiger populärer DSL-Router deren DNS-Einstellungen zu manipulieren. So bleibt der Rechner des Opfers scheinbar unangetastet und weitere Computer im lokalen Netzwerk sind ebenfalls betroffen, obwohl der Schädling sie nie angefasst hat.

Die neueste Fassung der DNSchanger installiert einen legitimen Treiber namens "NDISProt" (ndisprot.sys), mit dessen Hilfe sie einen DHCP-Server simulieren. Ein DHCP-Server teilt den Rechnern im lokalen Netz IP-Adressen zu und weist ihnen den Weg ins Internet (Festlegung von Gateway und Nameserver). Diese Aufgabe hat normalerweise ein DSL-Router inne. Übernimmt ein anderer, kompromittierter PC diese Rolle, kann er den anderen Rechnern im Netzwerk falsche Nameserver-Adressen unterjubeln.

Diese Nameserver stehen unter der Kontrolle der Online-Kriminellen und liefern auf Anfrage falsche IP-Adressen. So landen die Aufrufe der Bank-Website auch wieder bei einem Webserver der Betrüger. Das funktioniert völlig unabhängig vom Betriebssystem der Rechner im Netzwerk - es können zum Beispiel auch Macs sein oder Linux-Rechner sowie internetfähige Geräte wie Spielekonsolen.

Die Online-Kriminellen kommen so an die Anmeldedaten fürs Online-Banking, für eBay oder auch für Online-Spiele. Bei Symantec werden die neuen DNSchanger-Varianten als "Trojan.Flush.M" bezeichnet. (PC-Welt/mja)