Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

DNSChanger – Desinfektion von 4 Millionen infizierten Hosts


  Kurt Baumgartner        7 März 2012 | 11:19  MSK

Ihr Kommentar  

Das Internet ist voll von infizierten Hosts. Grob geschätzt gibt es zu jedem beliebigen Zeitpunkt über 40 Millionen infizierte Opfer-Hosts und Malware verbreitende „Hosts“, die mit dem Internet verbunden sind. Dazu gehören sowohl traditionelle Rechengeräte wie auch Netzwerkgeräte und Smartphones. Das sind immense Ressourcen, die am laufenden Band Cybercrime, Viren, Würmer, Exploits und Spyware hervorbringen. Es hat bereits eine Menge Diskussionen und Vorschläge gegeben, wie dieses Chaos zu beseitigen ist, denn die Herausforderung ist überaus komplex und die aktuell laufenden „Aufräumarbeiten“ sind langwieriger als erwartet.

Die massenhafte Ausnutzung ist und bleibt das wichtigste Bestreben von Cyberkriminellen und es ist und bleibt ein wichtiges Problem – teilweise ist es ein Zahlenspiel für sie. Obwohl das Ausnutzen und Infizieren von Millionen von Rechnern irgendwann einmal die Aufmerksamkeit der Strafverfolgungsorgane auf sich ziehen mag, ist es ein Risiko, das manch einer auf sich nimmt, um an Millionen von Dollars zu kommen, die mit demselben Aufwand unter Umständen auch irgendwo anders zu holen sein würden. Nehmen wir nur mal beispielsweise das aktuelle DNSChanger-Cleanup. Hier haben wir es mit einem traditionell Profit-motivierten 4 Millionen PC- und Mac-Knoten zu tun, ein vom FBI verfolgter Malware-Fall, der mit Festnahmen und dem Abschalten von Servern endete.

Als DNSChanger “aufflog”, wurden nur die "Rove Digital" DNS-Servers behandelt, obwohl es in der Erklärung hieß: "Heute demontierte das FBI mit seinen Partnern mit dem Umlegen eines Schalters das kriminelle Unternehmen Rove". Während Opfer im Allgemeinen nicht als Teil eines Unternehmens gesehen werden, könnten 4 Millionen mit dem Trojaner DNSChanger infizierte Hosts, die mit dem Internet verbunden bleiben, und von denen viele versäumen, Windows-Updates herunterzuladen, vielfältige Möglichkeiten für andere Cyberkriminelle bieten. Und selbst wenn frühere Botnetze teilweise durch Kommunikation mit dem schädlichen Botcode selbst von gekaperten C2-Servern behandelt wurden, werden solche Schritte heute wieder vermieden. Bredolab (ungefähr 3 Millionen oder mehr infizierte Hosts), Coreflood/Afcore (über 2 Millionen infizierte Hosts) sind vermutlich die letzten spektakulären Beispiele dafür, dass Strafverfolgungsbehörden Befehle erteilen, um bei der Zerschlagung von Botnetzen effektive Hilfe zu leisten. Wie geht die Säuberung vier Monate später ohne diese Art von Intervention voran?

Nicht unbedingt gut, sollte man meinen. Ungefähr eine halbe der vier Millionen Hosts wurden in den USA infiziert und wurden bisher nicht wie geplant desinfiziert. Währenddessen rückt die Deadline Anfang März für die DNSChanger Working Group immer näher, ihren FBI/ISC DNS Server-Ersatz für die estnischen, von Cyberkriminellen verwalteten bösartigen DNS-Server zu entfernen. Ein Internetserviceprovider allein verlangte mehr Zeit für die verbliebenen 50 000 infizierten Hosts in seinen Netzwerken. Und das FBI sieht darin immerhin ein derartiges Problem, dass es den Richter um Verschiebung des ursprünglichen Termins zur Abschaltung der DNS-Server am 8. März auf den 9. Juli bat, womit effektiv die doppelte Zeit zur Säuberung der mit DNSChanger infizierten Hosts bliebe.

Verschiedene Stimmen behaupten, dass ungefähr die Hälfte der Fortune Global 500 - der 500 umsatzstärksten Unternehmen der Welt also - hunderte von Betrieben sowie viele staatliche Behörden Systeme unterhalten, die einfach nicht in der Lage sind die Domainnamen aufzulösen und die damit unbrauchbar würden, wenn die Ersatz-DNS-Server Anfang März abgeschaltet würden.

Womit sich die Frage aufdrängt, ob diese Verlängerung wirklich eine so gute Idee ist? Rick Wanner von SANS desk stellt den Wert dieser Lösung in Frage..."Offen gesagt bin ich im Zweifel, ob die Verlängerung wirklich eine so gute Idee ist. Ich möchte die Möglichkeit wirklich nicht unterstützen, dass die Firmen, mit denen ich Geschäfte tätige und denen ich meine persönlichen Daten anvertraue, weitere 4 Monate zur Verfügung gestellt bekommen, um eine bekannte Malware-Infektion zu beseitigen."

Wenn schon Unternehmen und Regierungsorganisationen nicht in der Lage sind, ihre Systeme zu säubern, was ist dann erst mit den zu sanierenden Systemen von Heimanwendern? Gut, DNS-Anfragen an die Ersatz-Server werden überwacht und die Quell-IPs werden gespeichert. Diese Quell- IPs werden an die ISPs verteilt, denen diese IP-Adressen gehören. An diesem Punkt sollen die Internetserviceprovider in der Lage sein, die Kunden ausfindig zu machen, die die ursprüngliche IP-Adresse verwenden und sie darüber zu benachrichtigen, wer die Desinfektion vornehmen wird. Hier eine Benachrichtigung der Comcast:

Wie man sieht, führt der Link die Anwender zu einer dringenden Aufforderung zu sofortigem Handeln. Das Individuum hat nun die Wahl zu versuchen, sein System kostenlos selbst zu desinfizieren oder einen $100+ Service in Anspruch zu nehmen, der ihm bei der Säuberung hilft:

Dieses Tool soll Anwendern helfen, den Trojaner DNSChanger zu identifizieren und ihn kostenlos zu entfernen. Es identifiziert und entfernt tatsächlich verschiedene Varianten von DNSChanger. Auf meinem System hat es zudem ärgerlicherweise auch ImmunityDebugger - einen recht bekannten Debugger - als ein potentiell schädliches Softwarepaket identifiziert, das entfernt werde müsse. Scheinbar zählt dieser Eraser verschiedene Faktoren zusammen, um die Legitimität einer zu untersuchenden Software auf einem System einzustufen, inklusive der "Lastpunkte", die es auf dem System aufzählt und dem Reputations-Scoring und bemerkt, dass mit dem Tool hervorgerufene Änderungen zurückgesetzt werden können. In gewisser Weise kann das hilfreich sein für Leute, die wissen, was sie tun und was sie andererseits auch gern ignorieren können. Dieses Tool kann mehr Infektionen als nur DNSChanger entfernen, wie ein allgemeiner Virenscanner auch. Und das ist eine gute Sache. Es mag nicht jedem so gehen, aber es ist toll zu sehen, wie die ISP Werkzeuge zum Desinfizieren zur Verfügung stellen, da sie die Kontaktstelle sind und diese Tools existieren. Es wäre großartig, würden in diesem Zusammenhang auch universelle und spezialisierte Tools angeboten werden, die DNSChanger und andere Infektionen entfernen sollen, und würde dem Kunden so die Wahl überlassen, welchem Unternehmen er die Sanierung seines Systems anvertraut. Kaspersky Lab bietet zum Beispiel TDSSKiller an, und unsere Malware-Scanner können voll funktionsfähig als Testversionen heruntergeladen werden.

Bei komplexeren Infektionen unter Mitwirkung von DNSChanger sollte das beste Toolset wohl den TDSSKiller enthalten. Regelmäßig aktualisiert desinfiziert er die neusten Tdss-Versionen inmitten anderer Rootkits. Tdss ist eine eigene Plattform, die benutzt wurde, um DNSChanger neben anderer Malware zu verbreiten, die bekannt dafür ist, Updates außer Kraft zu setzen und AV-Programme auf den Systemen unbrauchbar zu machen, was die Desinfektion insgesamt überaus erschwert. Von diesem Punkt aus können dann andere Scanner benutzt werden, um die Desinfektion von DNSChanger abzuschließen. Wie auch immer man es betrachtet, Unterschätzung des Problems und ein falsches Verständnis von Desinfektion und der Notwendigkeit von effektiven Anti-Malware-Lösungen sind aufgrund der Sanierungsanstrengungen der Operation GhostClick des FBI grell zutage getreten.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen