Vor einigen Tagen haben wir über den BKA-Trojaner und GEMA-Trojaner berichtet. Heute wollen wir Ihnen Trojaner vorstellen, die Ihre Netzwerkeinstellungen (z.B. DNS-Einstellungen) so manipulieren, dass Sie unter Umständen auf gefälschte Webseiten umgeleitet werden, ohne dass Sie Verdacht schöpfen. Diese Art der Manipulation eignet sich hervorragend um Phishing-Angriffe durchzuführen, und sich so Zugang zu Ihren Zugangsdaten bei ebay oder anderen Plattformen (z.B. Online-Banking) zu verschaffen.
Ein Beispiel für solch’ einen Trojaner ist “Zlob“, den es bereits seit Ende 2005 gibt. So tauchte er 2008 z.B. als Video-Codec auf, welcher vorgab für das Abspielen pornographischer Inhalte benötigt zu werden. Dabei meldete die vom Anwender aufgerufene Seite, dass eine ActiveX-Komponente für den Stream fehlt. Fällt das Opfer darauf rein, installiert der Endnutzer anstelle eines Video-Codecs den Schädling.
Für aktuelle Virenscanner, wie z.B. die DE-Cleaner, stellt die “Zlob“-Familie eigentlich kein Problem dar. Was die AV-Produkte allerdings nicht leisten können ist das Wiederherstellen der “geänderten Netzwerk-Einstellungen”. Diese müssen manuell wiederhergestellt werden.
Um die von Ihnen angesurften WebSeiten zu manipulieren und auf gefakte Zielseiten umzulenken, wenden diese “DNS-Trojaner” verschiedene Techniken an. Neben dem Eintragen eines Proxies oder der Hinterlegung fester Zielrouten in der hosts-Datei, werden neben den lokalen Netzwerkeinstellungen unter Windows unter Umständen auch Nameserver-Eintragungen direkt in Ihrem WLAN-Router vorgenommen. Hierfür bringt der Schädling Passwortlisten mit Standard-Logins für die gängigsten Router-Modelle mit, und versucht sich so über die vom Hersteller vergebenen Zugangsdaten auf das Gerät einzuloggen. Gelingt ihm dies, weil z.B. der Anwender das Passwort nicht geändert hat, ersetzt der Trojaner die Nameserver-Einstellungen des Providers mit den IP-Adressen der DNS-Server seiner Herren. Fortan kontrollieren die sogenannten “Rogue DNS-Provider” jeden Webseiten-Aufruf und haben damit die Möglichkeit jede einzelne Ziel-URL auf ein anderes von ihnen oder befreundeten Tätergruppen betriebenes System umzuleiten.
Wie stelle ich sicher, dass meine Interneteinstellungen nicht manipuliert worden sind?
1. Prüfen Sie die DHCP-Einstellungen in der Netzwerkkonfiguration Ihres Routers (hier exemplarisch das entsprechende Menü in der Fritz!Box).
Es sollte in den Standardeinstellung auf “IP-Adresse automatisch über DHCP beziehen” stehen. Wenn etwas in dem rot umrahmten Feld steht ist dies ein Indiz für eine Infektion. Ein Anruf bei Ihrem Administrator oder Provider gibt hier Aufschluss!
Sollte hier ein / mehrere unbekannte DNS-Server angegeben sein, so entfernen Sie diese und geben anschließend in der Eingabeaufforderung ipconfig /flushdns ein. Ändern Sie in diesem Falle umgehend das Zugangspasswort zu Ihrem Router.
Sollten Sie Mac OS User sein, finden Sie weitere Hinweise in diesem Artikel: “DNSChanger auf dem Mac? Hier gibt es Hilfe!“
2. Prüfen Sie die DHCP-Einstellungen in Ihrem Windows-System (Bsp. Win XP).
a) Klicken Sie Start > Systemsteuerung > Netzwerkverbindungen
b) Klicken Sie auf die Netzwerkverbindung (wenn mehrere angezeigt werden, wählen Sie diejenige, über die Sie sich mit dem Internet verbinden).
Unter Eigenschaften sollte für das Internetprotokoll (TCP/IP) “IP-Adresse automatisch beziehen” und “DNS-Serveradresse automatisch beziehen” konfiguriert sein. Sollte ein oder mehrere unbekannte DNS-Server angegeben sein, so entfernen Sie die Einträge und geben Sie anschließend in der Eingabeaufforderung ipconfig /flushdns ein.
3. Prüfen Sie die Netzwerkeinstellungen in Ihrem Browser (Bsp.: Internet Explorer 8).
a) Starten Sie Ihren Browser. Klicken Sie “Extras > Internetoptionen” und wählen Sie die Registerkarte “Verbindungen“.
b) Klicken Sie auf “LAN-Einstellungen“.
Hier sollte nichts oder allenfalls die oberste Option angehakt sein (Internet Explorer 9). Im rot umrahmten Feld sollte in der Standardkonfiguration nichts angehakt sein.
4. Überprüfen Sie, ob die hosts-Datei manipuliert wurde:
Klicken Sie im Windows Explorer bis zur hosts-Datei und öffnen Sie diese in einem Editor.
Sie befindet sich unter C:Windowssystem32driversetc
Standardmäßig ist nur ein Eintrag (localhost) unter Windows XP aktiv; unter Windows 7 ist standardmäßig kein Eintrag aktiv (Mit der Raute # eingeleitete Zeilen sind Kommentarzeilen und können ignoriert werden). Es können aber manuell noch weitere Einträge z.B. für lokale Drucker hinzugefügt worden sein.
Sie haben schon Erfahrungen mit solchen Trojanern gemacht? Berichten Sie in unserem kostenlosem Support-Forum darüber und helfen Sie damit anderen Betroffenen. Bei Fragen stehen Ihnen unsere Experten und die Community dort natürlich auch zur Seite. Folgen Sie uns auch auf facebook und Google+ – werden Sie botfrei!