Warum ist der DNS-Changer Trojaner so gefährlich?

Er kann in Windows und MacOSX Systeme Netzwerkeinstellungen ändern.
DNS steht für Domain Name Server. In der Regel werden automatisch die DNS Server vom Internetprovider genutzt

(Grafikquelle Wikipedia)

Wenn eine Webseite aufgerufen wird, “fragt” der Computer die eingestellten DNS Server, wo sich eine Webseite befindet und erhält binnen Millisekunden eine Antwort und die Webseite wird angezeigt.

Die besondere Eigenschaft an diesem Trojaner ist, dass er fremde DNS Server in die Systemeinstellungen einträgt und somit Anfragen an z. B. Webseiten von Banken mit falschen Antworten erwiedert.

Was passiert bei bösartigen DNS Servern?

Sämtliche DNS Antworten können abgeändert werden. Man landet auf “falschen” Webseiten, wird mit Werbung bombardiert und infiziert sich mit weiterer Schadsoftware, wodurch sich der (inzwischen festgenommene) Angreifer Zugriff auf sämtliche Logins, Bankdaten, Kreditkartendaten, Passwörter verschaffen kann.

Laut FBI infizieren sich in Deutschland täglich ca. 33.000 Computer mit dem sich selbst verbreitendem Botnetz.

Eine sofortige Abschaltung der DNS Server wäre möglich, jedoch wären dann für infizierte Rechner keinerlei Internetaufrufe mehr möglich. Aus diesem Grund hat das Das Bundesamt für Sicherheit in der Informationstechnik zusammen mit der Telekom einen Webseiten Schnelltest ins Leben gerufen.

Mithilfe der Webseite kann man sichergehen, ob die DNS Einstellungen in Ordnung sind, oder der PC vom Trojaner betroffen ist.

Auch wenn das Hackernetz inzwischen zerschlagen ist, werden die bösartigen DNS Server erst zum 8. März 2012 abgeschaltet.

Link zum DNS Schnelltest:   www.dns-ok.de

Dieser Spam kann, aber muss nicht unbedingt im Spam Ordner landen!

Hier mal ein Beispiel, wie so eine unscheinbare Mail aussehen kann

Wie man sieht ganz unscheinbar. In der vollständigen Mail ist sogar die Unterschrift von Dirk Sebastian vom DHL Kundensupport mit dabei. Bei einem Betreff wie: “Ihre Packstation ist gesperrt”, will man natürlich herrausfinden warum und tippt aus Leichtsinn seine Packstation Daten ein.

Der Link, führt natürlich zu einer gefakten Seite, sie kann wie die folgende aussehen (anklicken zum vergrößern):

Wenn man nun auf die Webseite sieht, sieht man in diesem Fall nur eine IP oder eine falsche Domain anstelle von DHL.de oder Post.de.

Ich habe mir die Mühe gemacht, die IP zurückzuverfolgen und musste feststellen, dass der Server bei Hosteurope steht. Nach einem kurzen Telefonat sollte ich die Phishing Email einfach an ihre Abuse Mailbox weiterleiten. Mal schauen wie schnell reagiert wird. –Denn meist wird seitens der Hoster garnicht reagiert !–

Wenn man nun seine Packstation Daten eingibt und auf abschicken drückt, so wird man zur richtigen DHL Webseite weitergeleitet. Der User wird sich denken, dass vielleicht das Login nicht geklappt hat, oder er schließt die Seite nun. Seine Daten jedoch, sind nun in den Händen Dritter…

Was wirklich passiert ist folgendes:

Die Daten werden in einem Datensatz gespeichert, meist an verschiedenen Servern, sodass im Falle das der Betrug auffällt, die geklauten Daten erhalten bleiben. Mit den geklauten Daten wie der Postnummer und der PostPin kann der Hacker/Phisher/Dieb Deutschlandweit jede Packstation in ihrem Namen benutzen.

Wozu das ganze?

Auch darauf gibt es eine Antwort. In der sogenannten Untergrund Szene wird alles mögliche getauscht und verkauft, unter anderem auch Kreditkartendaten, Online Banking Zugänge, Passwörter und natürlich auch Packstationen. Sie sind für den Betrüger von heute höchst interessant, da er das Paket nicht mehr wie üblich abfangen muss, d. h. der Scammer (Betrüger) bestellt mit gestohlenen Kreditkartendaten etwas auf die Packstation, wenn das Paket ankommt, wird er per E-Mail benachrichtigt. Er muss nur noch zur Packstation laufen und die PostNR, sowie die PIN eingeben.

Wie kann man sich davor schützen?

Ganz Einfach!

Das Unternehmen DHL wird Sie NIEMALS(!) per E-Mail nach Ihren Zugangsdaten fragen. Falls Sie sich dennoch mal nicht sicher sind, überprüfen Sie die im Webbrowser angezeigte Webadresse oder fragen Sie einfach in Ihrer Postfiliale nach.

Maßnahmen, falls man doch seine Daten eingegeben hat

Sich sofort an DHL wenden und die Sache schildern, diese können die Packstation sperren oder einfach das Login ändern. Falls ein Paket bereits in einer anderen Ortschaft “abgeholt” wurde, können Sie sich auch an die Polizei wenden.

Jedoch sollten Sie auf keinen Fall, nichts unternehmen!

Auf meinen vServer, installierte ich die Honeypot Software Nepenthes.

Diese Software, gaukelt gewisse Windows Sicherheitsluecken vor und ist in der Lage, die Malware einzufangen. Innerhalb von 12 Stunden wurden 60(!) Schaedliche Dateien aufgeschnappt.

Erstaunlich schnell im deutschen IP Bereich verbreitet sich der Trojaner “W32.Virut-54 FO” (ClamAV Bezeichnung). Dieser ist mir ca. 35 Mal in die Falle getappt.

Was allerdings verwunderlich ist, ist das fast keine klassischen SD-Bots mehr im Umlauf sind. (4)

Gehen wir nun von dem Beispiel aus, dass jemand Windows XP Home Edition (ohne Servicepacks) installiert hat, natuerlich ohne Antivirenprogramm und ohne Firewall..

Auf seinen Computer wuerden sich ueber den Tag verteilt HUNDERTE von schaedlichen Viren einnisten.

Ueber die moeglichen Kosequenzen brauch ich nicht schreiben, denn davon kann sich jeder selbst ein Bild machen.

Die Virenauthoren versuchen stets, ihre Viren zu verschluesseln, sodass Antivirenprogramme nicht darauf anspringen, deshalb wuerde ich jedem empfehlen, bei dem benutzten Antivirenprogramm die Heuristik-Funktion einzuschalten.

Die Software wird in verschiedenen Sprachen angeboten.

Herstellerangaben:

Das Avira AntiVir Rescue System ist eine linux-basierte Applikation, die es erlaubt auf Rechner zuzugreifen, die nicht mehr gebootet werden können. Auf diese Weise ist es möglich:

• ein beschädigtes System zu reparieren,
• Daten zu retten,
• eine Überprüfung des Systems auf Virenbefall durchzuführen.

Das Rescue System kann nach dem Herunterladen per Doppelklick auf eine CD/DVD gebrannt werden. Dieses CD/DVD kann dann benutzt werden, um einen Rechner zu booten.

Das Avira AntiVir Rescue System wird mehrmals täglich aktualisiert, so dass immer die aktuellsten Sicherheitsupdates zur Verfügung stehen.

Laut Free-av.com

Kaspersky, eine führende Antivirenfirma warnt vor Malware auf Netbooks, nachdem schädliche Malware auf brandneuen Windows XP Netbooks gefunden wurde.

Deshalb rät Kaspersky, einen ausführlichen Virenscan auf neuen PCs und Notebooks auszuführen, bevor man das Gerät mit dem Internet verbindet.

Die Sicherheitslücke ist im WebDAV Protokoll (Welches Benutzern erlaubt, schnell auf Dateien zuzugreifen und zu verändern). Nikolaos Rangos, veröffentlichte letzte Woche seinen Fund in der Full Disclosure security mailing list, mit sämtlichen Details.

Noch gibt es keinen Patch für diese Sicherheitslücke, deswegen raten Experten vom SANS Internet Storm Center zum deaktivieren von WebDAV.

Das Microsoft Security Response Center untersucht zur Zeit die WebDAV Schwachstelle und versucht schnellstmöglich eine Lösung des Problems zu finden.

Via Threadpost

Die Trojaner-Erweiterung tarnt sich als “Greasemonkey”. Diese legitim verfügbare Erweiterung hilft Anwendern bei der Verbesserung eigener Webseiten mit Hilfe von JavaScript.

Nutzer des Firefox Webbrowsers sollten ihre Add-Ons überprüfen und auf alle Fälle mit einer aktualisierten Version ihres Virenschutzes den Computer nach dem Beenden des Browsers auf Malware scannen.

von http://www.ikarus.at/