Menü
Security

DNSChanger-Opfern droht am Montag das Internet-Aus

vorlesen Drucken Kommentare lesen 124 Beiträge

Am kommenden Montag, den 9. Juli, schaltet das FBI die DNS-Server, die derzeit die Anfragen von DNSChanger-Opfern abfangen, ab. Wer mit der Malware infiziert ist, kann ab diesem Zeitpunkt praktisch nicht mehr auf das Internet zugreifen. Daher ist es ratsam, rechtzeitig durch den Besuch von dnschanger.eu oder dns-ok.de zu überprüfen, ob Rechner oder Router eine der FBI-IPs für DNS-Abfragen nutzen.

Wer seine Konfiguration manuell überprüfen möchte, muss nach den folgenden IP-Adressbereichen Ausschau halten: 85.255.112.0 bis 85.255.127.255, 67.210.0.0 bis 67.210.15.255, 93.188.160.0 bis 93.188.167.255, 77.67.83.0 bis 77.67.83.255, 213.109.64.0 bis 213.109.79.255 und 64.28.176.0 bis 64.28.191.255. Ist eine IP aus diesen Adressbereichen im Rechner oder Router als DNS-Server eingetragen, ist man mit DNSChanger infiziert. Wo man diese Angaben im Einzelfall findet, verrät ein vom eco-Verband betriebener Assistent. Für zukünftige DNS-Anfragen bietet sich etwa der von Google betriebene Server 8.8.8.8 an.

Bis zum November 2011 hatten Kriminelle die DNS-Anfragen infizierter Rechner abgefangen und auf andere IP-Adressen umgeleitet, so dass Computernutzer auf gefälschten und manipulierten Seiten landeten. Dort griffen die Hintermänner Kreditkartendaten ab, verkauften falsche Antivirensoftware oder begingen Klickbetrügereien.

Dann zerschlug die US-Bundespolizei FBI im Rahmen der Operation Ghostclick das DNS-Changer-Netz und richtete als Übergangslösung Ersatzserver ein, über die die DNS-Anfragen befallener Rechner korrekt abgewickelt wurden. Diese Server werden nun am 9. Juli endgültig abgeschaltet. Obwohl Datum und DNS-Problematik schon seit Monaten bekannt sind, sind in Deutschland immer noch tausende Rechner infiziert. Vor zwei Monaten hat das FBI täglich noch Zugriffe von rund 20.000 deutschen IP-Adressen registriert.

Nach dem Stichtag können Internetseiten auf einem befallenen und nicht gesäuberten Rechner nur noch geöffnet werden, wenn direkt die IP-Adresse eingegeben wird – zum Beispiel http://193.99.144.80 für heise.de. Seit Ende Mai warnt auch Google Nutzer der gleichnamigen Suchmaschine, wenn ihr Rechner befallen ist. (dpa) / (rei)