Wissenswert: Schädlicher Trojaner

Foto: flickr.com/Karen Roe, Rafael Robles L, Lars Kasper, NASA Goddard Photo and Video; Montage: Marc Patzwald, Teaserfoto: flickr.com/poniblog

Der Trojaner „DNS Changer“ kursiert im Internet – dass solche Schadprogramme unterwegs sind, die heimlich auf fremde Computer zugreifen, ist keine Seltenheit. Nicht so oft passiert es aber, dass eine Bundesbehörde einen Selbsttest ins Leben ruft, der den Trojanerbefall anzeigt. Denn wer von DNS Changer betroffen ist, dem droht ab März ein Komplettausfall des Internets.

In der letzten Woche haben eine Menge deutscher Internetnutzer auf dns-ok.de geklickt. Die Seite, durch die das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle manipulierten Rechner finden will, wurde allein in den ersten sechs Tagen mehr als 14 Millionen Mal aufgerufen. 38.600 Warnungen wurden bis dahin ausgestellt, die auf den Trojanerbefall hinweisen.

Glück gehabt: Wenn der Selbsttest so aussieht, hat "DNS Changer" einen nicht erwischt. Foto: Screenshot.

„DNS Changer“ heißt das Schadprogramm und klingt wie eine neue Methode, menschliches Erbgut zu manipulieren. Gemeint ist aber etwas ganz anderes: DNS steht für „Domain Name System“ und ist eine Art Übersetzer im Internet. Zu jeder Webseite gehört eine IP-Adresse, die wie eine Telefonnummer funktioniert – gibt man zum Beispiel die IP „173.194.67.94“ in den Browser ein, landet man direkt bei Google. Diese ellenlange Zahlenkolonne kann sich aber keiner merken, im Gegensatz zur URL „www.google.de“. Und damit man auch dadurch zu Google gelangt, muss das DNS die URL in die IP-Adresse umwandeln.

Trojaner manipuliert DNS

Thorsten Holz forscht an der RUB über Trojaner und Co. Foto: privat

Und genau da greift der Trojaner ein. Thorsten Holz, Professor am Lehrstuhl für Systemsicherheit der Ruhr-Universität Bochum, erklärt: „Das DNS wird so manipuliert, dass man auf einen falschen Server umgeleitet wird. Es kann sein, dass man nicht mehr bei Google landet, sondern auf einer Seite, die nur so aussieht wie Google.“

Das hat Folgen, auch wenn der PC-Nutzer sie gar nicht merkt: Bei einem automatischen Anti-Virus-Update kann der Trojaner dafür sorgen, dass auf eine falsche IP-Adresse weitergeleitet und das Update nicht heruntergeladen wird. Oder man gelangt auf Seiten, über die Viren und andere Schadprogramme installiert werden.

Genauso ist DNS Changer dazu in der Lage, die Werbung auf einer Seite zu verändern. Und das ist letztendlich gewinnbringend: Wird auf den Link geklickt, landen die Werbeeinnahmen beim Urheber des Trojaners.

.
Seit Jahren haben Onlinekriminelle so eine Menge Geld gemacht, bis im November das FBI eingriff und die DNS-Server sicherstellte. Das Problem bei der Sache: Hätte das FBI die Server einfach ausgeschaltet, wären alle vom Trojaner infizierten Internetnutzer auf einen Schlag offline gewesen. Also wurden die manipulierten Server durch eigene ersetzt, die korrekt arbeiten.

Am 8. März aber soll alles endgültig abgeschaltet werden. Damit bis dahin jeder weiß, ob er vom Trojaner befallen ist, gibt es die Seite dns-ok.de – sie zeigt an, wer über den FBI-Server geleitet wird und infiziert ist.

Da hat sich jemand ein Scherz erlaubt: Wer auf dns-okay.de landet, begegnet bunten Einhörnern. Foto: Screenshot.

Selbsttest mit Schwächen

Aber auch die Seite, die gemeinsam durch das BSI, die Deutsche Telekom und das Bundeskriminalamt bereitgestellt wird, birgt Tücken: Wer versehentlich „dns-okay.de“ eintippt, landet auf einer fast gleich aussehenden Seite, auf der nach ein paar Sekunden bunte Glitzer-Einhörner erscheinen.

Dass der Name „dns-ok“ nicht sehr glücklich gewählt ist, findet auch Thorsten Holz: „Statt einer Scherzseite mit Einhörnern hätte dort jemand genauso gut ein weiteres Schadprogramm zum Download anbieten können, getarnt als Anti-Trojaner-Programm.“ – Und das wäre wohl kaum im Interesse der Bundesbehörden.