{"id":2916,"date":"2012-01-15T11:27:04","date_gmt":"2012-01-15T10:27:04","guid":{"rendered":"http:\/\/192.168.10.121\/wordpress\/?p=2916"},"modified":"2013-08-29T19:06:35","modified_gmt":"2013-08-29T18:06:35","slug":"dns-einstellungen-manipuliert-browser-entfuhrt-dnschanger-windows","status":"publish","type":"post","link":"https:\/\/sci-fy.de\/wordpress\/dns-einstellungen-manipuliert-browser-entfuhrt-dnschanger-windows\/","title":{"rendered":"DNS-Einstellungen manipuliert? \u2013 Browser entf\u00fchrt! (DNSChanger) Windows"},"content":{"rendered":"

Vor einigen Tagen haben wir \u00fcber den BKA-Trojaner<\/a> und GEMA-Trojaner<\/a> berichtet. Heute wollen wir Ihnen Trojaner<\/strong> vorstellen, die Ihre Netzwerkeinstellungen (z.B. DNS-Einstellungen) so manipulieren, dass Sie unter Umst\u00e4nden auf gef\u00e4lschte Webseiten umgeleitet werden, ohne dass Sie Verdacht sch\u00f6pfen. Diese Art der Manipulation eignet sich hervorragend um Phishing-Angriffe<\/a><\/strong> durchzuf\u00fchren, und sich so Zugang zu Ihren Zugangsdaten bei ebay oder anderen Plattformen (z.B. Online-Banking) zu verschaffen.<\/p>\n

Ein Beispiel f\u00fcr solch\u2019 einen Trojaner ist \u201cZlob<\/strong><\/a>\u201c, den es bereits seit Ende 2005 gibt. So tauchte er 2008 z.B. als Video-Codec<\/a><\/strong> auf, welcher vorgab f\u00fcr das Abspielen pornographischer Inhalte ben\u00f6tigt zu werden. Dabei meldete die vom Anwender aufgerufene Seite, dass eine ActiveX-Komponente f\u00fcr den Stream fehlt. F\u00e4llt das Opfer darauf rein, installiert der Endnutzer anstelle eines Video-Codecs den Sch\u00e4dling<\/strong>.<\/p>\n

\"\"<\/a>Aufforderung, den gefakten Codec zu installieren<\/div>\n

F\u00fcr aktuelle Virenscanner, wie z.B. die DE-Cleaner<\/a>, stellt die \u201cZlob<\/em>\u201c-Familie eigentlich kein Problem dar. Was die AV-Produkte allerdings nicht leisten k\u00f6nnen ist das Wiederherstellen der \u201cge\u00e4nderten Netzwerk-Einstellungen\u201d. Diese m\u00fcssen manuell wiederhergestellt werden.<\/p>\n

Um die von Ihnen angesurften WebSeiten zu manipulieren und auf gefakte Zielseiten umzulenken, wenden diese \u201cDNS-Trojaner<\/em>\u201d verschiedene Techniken an. Neben dem Eintragen eines Proxies<\/strong> oder der Hinterlegung fester Zielrouten in der hosts-Datei<\/strong>, werden neben den lokalen Netzwerkeinstellungen unter Windows<\/strong> unter Umst\u00e4nden auch Nameserver-Eintragungen direkt in Ihrem WLAN-Router<\/strong> vorgenommen. Hierf\u00fcr bringt der Sch\u00e4dling Passwortlisten<\/strong> mit Standard-Logins f\u00fcr die g\u00e4ngigsten Router-Modelle mit, und versucht sich so \u00fcber die vom Hersteller vergebenen Zugangsdaten auf das Ger\u00e4t einzuloggen. Gelingt ihm dies, weil z.B. der Anwender das Passwort nicht ge\u00e4ndert hat, ersetzt der Trojaner die Nameserver-Einstellungen des Providers mit den IP-Adressen der DNS-Server seiner Herren. Fortan kontrollieren die sogenannten\u00a0\u201cRogue DNS-Provider\u201d <\/strong>jeden Webseiten-Aufruf und haben damit die M\u00f6glichkeit jede einzelne Ziel-URL auf ein anderes von ihnen oder befreundeten T\u00e4tergruppen betriebenes System umzuleiten.<\/p>\n

Wie stelle ich sicher, dass meine Interneteinstellungen nicht manipuliert worden sind?<\/strong>
\n1. Pr\u00fcfen Sie die DHCP-Einstellungen<\/em> in der Netzwerkkonfiguration Ihres Routers<\/em> (hier exemplarisch das entsprechende Men\u00fc in der Fritz!Box).
\nEs sollte in den Standardeinstellung auf \u201cIP-Adresse automatisch \u00fcber DHCP beziehen<\/strong>\u201d stehen. Wenn etwas in dem rot umrahmten Feld steht ist dies ein Indiz f\u00fcr eine Infektion. Ein Anruf bei Ihrem Administrator oder Provider<\/strong> gibt hier Aufschluss!<\/p>\n

\"\"<\/a>Netzwerkeinstellung in der Fritz!Box<\/div>\n

Sollte hier ein \/ mehrere unbekannte DNS-Server angegeben sein, so entfernen Sie diese und geben anschlie\u00dfend in der Eingabeaufforderung ipconfig \/flushdns<\/strong> ein. \u00c4ndern Sie in diesem Falle umgehend das Zugangspasswort zu Ihrem Router<\/strong>.<\/p>\n

Sollten Sie Mac OS User sein, finden Sie weitere Hinweise in diesem Artikel: \u201cDNSChanger auf dem Mac? Hier gibt es Hilfe!<\/a>\u201c<\/p><\/blockquote>\n

2. Pr\u00fcfen Sie die DHCP-Einstellungen in Ihrem Windows-System (Bsp. Win XP).
\na) Klicken Sie Start<\/em> > Systemsteuerung<\/em> > Netzwerkverbindungen<\/em>
\nb) Klicken Sie auf die Netzwerkverbindung\u00a0(wenn mehrere angezeigt werden, w\u00e4hlen Sie diejenige, \u00fcber die Sie sich mit dem Internet verbinden).
\nUnter Eigenschaften<\/em> sollte f\u00fcr das Internetprotokoll (TCP\/IP)<\/em> \u201cIP-Adresse automatisch beziehen<\/strong>\u201d und \u201cDNS-Serveradresse automatisch beziehen<\/strong>\u201d konfiguriert sein. Sollte ein\u00a0oder mehrere unbekannte DNS-Server angegeben sein, so entfernen Sie die Eintr\u00e4ge und geben Sie anschlie\u00dfend in der Eingabeaufforderung ipconfig \/flushdns<\/strong> ein.<\/p>\n

\"\"<\/a>Men\u00fceintrag um zu den Eigenschaften der Internetverbindung zu gelangen<\/div>\n
\"\"<\/a>Netzwerkeinstellungen unter Windows XP<\/div>\n

3. Pr\u00fcfen Sie die Netzwerkeinstellungen in Ihrem Browser (Bsp.: Internet Explorer 8).
\na) Starten Sie Ihren Browser. Klicken Sie \u201cExtras > Internetoptionen<\/em>\u201d und w\u00e4hlen Sie die Registerkarte \u201cVerbindungen<\/em>\u201c.
\nb) Klicken Sie auf \u201cLAN-Einstellungen<\/em>\u201c.
\nHier sollte nichts oder allenfalls die oberste Option angehakt sein (Internet Explorer 9). Im rot umrahmten Feld sollte in der Standardkonfiguration nichts angehakt sein.<\/p>\n

\"\"<\/a>Netzwerkeinstellung im Internet Explorer<\/div>\n

4. \u00dcberpr\u00fcfen Sie, ob die hosts-Datei<\/strong> manipuliert wurde:
\nKlicken Sie im Windows Explorer bis zur hosts-Datei und \u00f6ffnen Sie diese in einem Editor.
\nSie befindet sich unter C:Windowssystem32driversetc<\/strong>
\nStandardm\u00e4\u00dfig ist nur ein Eintrag (localhost<\/strong>) unter Windows XP aktiv; unter Windows 7 ist standardm\u00e4\u00dfig kein Eintrag aktiv (Mit der Raute # eingeleitete Zeilen sind Kommentarzeilen und k\u00f6nnen ignoriert werden). Es k\u00f6nnen aber manuell noch weitere Eintr\u00e4ge z.B. f\u00fcr lokale Drucker hinzugef\u00fcgt worden sein.<\/p>\n

\"\"<\/a>Die hosts-Datei<\/div>\n

Sie haben schon Erfahrungen mit solchen Trojanern gemacht? Berichten Sie in unserem kostenlosem Support-Forum<\/a>\u00a0dar\u00fcber und helfen Sie damit anderen Betroffenen. Bei Fragen stehen Ihnen unsere Experten und die Community dort nat\u00fcrlich auch zur Seite. Folgen Sie uns auch auf facebook<\/a> und Google+<\/a> \u2013 werden Sie botfrei!<\/p><\/blockquote>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Vor einigen Tagen haben wir \u00fcber den BKA-Trojaner und GEMA-Trojaner berichtet. Heute wollen wir Ihnen Trojaner vorstellen, die Ihre Netzwerkeinstellungen (z.B. DNS-Einstellungen) so manipulieren, dass Sie unter Umst\u00e4nden auf gef\u00e4lschte Webseiten umgeleitet werden, ohne dass Sie Verdacht sch\u00f6pfen. Diese Art der Manipulation eignet sich hervorragend um Phishing-Angriffe durchzuf\u00fchren, und sich so Zugang zu Ihren Zugangsdaten … <\/p>\n

\u201eDNS-Einstellungen manipuliert? \u2013 Browser entf\u00fchrt! (DNSChanger) Windows\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,12],"tags":[180,92],"class_list":["post-2916","post","type-post","status-publish","format-standard","hentry","category-pcees","category-software-pc","tag-dns-changer","tag-windows"],"_links":{"self":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/posts\/2916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2916"}],"version-history":[{"count":0,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/posts\/2916\/revisions"}],"wp:attachment":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}