DNS Trojaner

Na klar kann man das in einer Sekunde feststellen.

Bei dem www.dns-ok.de wird nicht der ganze Computer (Festplatte) gescannt!
Das Script (Programm) schaut nur nach was du für einen DNS Server eingetragen hast ( das kannst du selber auch unter (Start / Ausführen "ipconfig /all machen.
Wenn du z.b. www.google.de in den IE eingibst kommt eine Anfrage zum DNS Server der dann die IP Adresse dazu ausgibt und dich zum Server von Google weiterleitet.
Wenn du nun den DNS vom Trojaner eingetragen hast kommst eben auf den "Falschen" DNS Server

Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet können..
Normalerweise ist denen das ganz egal

Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!


Spiegel Artikel

Golem Artikel

Heise Artikel

Sinn oder Unsinn dieser Massnahme lassen wir mal dahin gestellt.

brammer

Laut golem
"ist aber auf etwa 30.000 Rechnern in Deutschland immer noch aktiv."

Ich denke das ist überschaubar.

Edit:

OK laut Spiegel:

"Laut FBI rufen derzeit bis zu 33.000 Computer am Tag aus Deutschland die von der Behörde übernommenen Steuerungsrechner des Zombie-Netzwerks auf"

da soll sich noch jemand auskennen

Eigentlich recht human gelöst!

Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert. Entweder wirst du im BotNet aufgelöst und über die umgemodelten DNS-Server auf Rote-DNS-OK Seite geleitet oder eben net! I hätte gleich alle anfragen auf ne Fehlerseite mit Problembehandlung geschickt (Ein fantastisches Chaos ) ).

- gestrichen -

Kann mir denn einer von den DNS-Experten etwas verraten?
Meine Frage:
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Sehe ich da etwas falsch ?!
Ich gehe jetzt in diesem Fall eher von Privatleuten mit einem DSL-Router aus !


Gruß und Danke

Carsten

moin,

Dann würde das umbiegen per LMHosts auch nicht gehen. (obwohl ist ja WINS)
Der erste DNS löst in die IP-Adresse auf wenn er das kann und der im Router eingetragene bekommt die Anfage zur IP-Adresse und nicht die zum Domainname.
somit:

Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.

Gruß Phil

Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.


Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und die Einstellung im Router ändern.

Mein Vater schafft es immer wieder sich sowas einzufangen. Ich habe eher zufällig bei ihm bemerkt, dass er mir unbekannte DNS-Server in der IP-Konfiguration eingetragen hatte. Die IP bekam er weiterhin über DHCP, die DNS-Adressen waren manuell gesetzt.
Wer es selbst mal probieren will: Eine IP-Adresse lautete 93.188.162.165.

Der Unterschied:
Mit "echten" Nameservern zeigt "dns-ok.de" auf 85.214.11.195
mit dem Botnetz-DNS auf 85.214.11.194 (authoritativer Nameserver ist "localhost.")
So einfach kann es sein


Ich habe daraufhin dem Router (eine kleine Linuxkiste) beigebracht, dass externe DNS-Server per Firewall gesperrt sind und nur der Router selbst noch ungefiltert rauskommt. Entweder nutzt ein Rechner im lokalen Netz also auch den DNS-Server des Routers oder garkeinen.
Wird ein fremder DNS-Server in der IP-Konfiguration von Windows eingetragen wirst du das also schnell merken, weil keine Domains mehr aufgelöst werden können