11
DNS Trojaner
Was ist Wahres dran?
Vor ein paar Tagen habe ich von diesem sogenannten DNS-Trojaner gehört und dass alle User, die ein PC mit Internetanbindung besitzen, ihren Rechner über www.dns-ok.de testen sollen. Dies kommt mir aber etwas spanisch vor, dass sich jetzt alle auf eine angeblich offizielle Seite der Bundesregierung einwählen sollen um den Rechner auf diesen Trojaner zu testen. Habe dies mit dem PC von Arbeit aus mal probiert. Sofort, als ich die Webadresse eingegeben hatte und "Enter" drückte, stand da, dass der Rechner keinen DNS-Trojaner hat. Ich glaube nicht, dass innerhalb von 1/100 Sek. festzustellen ist, dass der Rechner keinen Trojaner hat.
Oder wie seht ihr das? Was ist Eure Meinung dazu?
Vor ein paar Tagen habe ich von diesem sogenannten DNS-Trojaner gehört und dass alle User, die ein PC mit Internetanbindung besitzen, ihren Rechner über www.dns-ok.de testen sollen. Dies kommt mir aber etwas spanisch vor, dass sich jetzt alle auf eine angeblich offizielle Seite der Bundesregierung einwählen sollen um den Rechner auf diesen Trojaner zu testen. Habe dies mit dem PC von Arbeit aus mal probiert. Sofort, als ich die Webadresse eingegeben hatte und "Enter" drückte, stand da, dass der Rechner keinen DNS-Trojaner hat. Ich glaube nicht, dass innerhalb von 1/100 Sek. festzustellen ist, dass der Rechner keinen Trojaner hat.
Oder wie seht ihr das? Was ist Eure Meinung dazu?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178790
Url: https://administrator.de/contentid/178790
Ausgedruckt am: 15.11.2024 um 16:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
die Seite testet nicht ob auf deinem Rechenr ein Trojaner ist, sondern ob eine Umleitung des DNS vorliegt.
Auf der Seite wählst du dich auch nicht ein, sondern rufst diese nur auf.
Die DNS Abfrage ist in der Zeit durchaus möglich.
brammer
die Seite testet nicht ob auf deinem Rechenr ein Trojaner ist, sondern ob eine Umleitung des DNS vorliegt.
Auf der Seite wählst du dich auch nicht ein, sondern rufst diese nur auf.
Die DNS Abfrage ist in der Zeit durchaus möglich.
brammer
Na klar kann man das in einer Sekunde feststellen.
Bei dem www.dns-ok.de wird nicht der ganze Computer (Festplatte) gescannt!
Das Script (Programm) schaut nur nach was du für einen DNS Server eingetragen hast ( das kannst du selber auch unter (Start / Ausführen "ipconfig /all machen.
Wenn du z.b. www.google.de in den IE eingibst kommt eine Anfrage zum DNS Server der dann die IP Adresse dazu ausgibt und dich zum Server von Google weiterleitet.
Wenn du nun den DNS vom Trojaner eingetragen hast kommst eben auf den "Falschen" DNS Server
Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet können..
Normalerweise ist denen das ganz egal
Bei dem www.dns-ok.de wird nicht der ganze Computer (Festplatte) gescannt!
Das Script (Programm) schaut nur nach was du für einen DNS Server eingetragen hast ( das kannst du selber auch unter (Start / Ausführen "ipconfig /all machen.
Wenn du z.b. www.google.de in den IE eingibst kommt eine Anfrage zum DNS Server der dann die IP Adresse dazu ausgibt und dich zum Server von Google weiterleitet.
Wenn du nun den DNS vom Trojaner eingetragen hast kommst eben auf den "Falschen" DNS Server
Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet können..
Normalerweise ist denen das ganz egal
Aber K.A. warum sich der Staat sorgen macht das nach abschaltung des Trojaner DNS Servers ein paar User nicht mehr ins Internet
können..
Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!
Normalerweise ist denen das ganz egal
Spiegel Artikel
Golem Artikel
Heise Artikel
Sinn oder Unsinn dieser Massnahme lassen wir mal dahin gestellt.
brammer
Weil es nicht um "ein paar User" geht sondern nach verschiedenen Aussagen um mehrere Millionen User!
Laut golem
"ist aber auf etwa 30.000 Rechnern in Deutschland immer noch aktiv."
Ich denke das ist überschaubar.
Edit:
OK laut Spiegel:
"Laut FBI rufen derzeit bis zu 33.000 Computer am Tag aus Deutschland die von der Behörde übernommenen Steuerungsrechner des Zombie-Netzwerks auf"
da soll sich noch jemand auskennen
Eigentlich recht human gelöst!
Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert. Entweder wirst du im BotNet aufgelöst und über die umgemodelten DNS-Server auf Rote-DNS-OK Seite geleitet oder eben net! I hätte gleich alle anfragen auf ne Fehlerseite mit Problembehandlung geschickt (Ein fantastisches Chaos
) ).
Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert. Entweder wirst du im BotNet aufgelöst und über die umgemodelten DNS-Server auf Rote-DNS-OK Seite geleitet oder eben net! I hätte gleich alle anfragen auf ne Fehlerseite mit Problembehandlung geschickt (Ein fantastisches Chaos
) ).
- gestrichen -
Kann mir denn einer von den DNS-Experten etwas verraten?
Meine Frage:
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Sehe ich da etwas falsch ?!
Ich gehe jetzt in diesem Fall eher von Privatleuten mit einem DSL-Router aus !
Gruß und Danke
Carsten
Meine Frage:
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Sehe ich da etwas falsch ?!
Ich gehe jetzt in diesem Fall eher von Privatleuten mit einem DSL-Router aus !
Gruß und Danke
Carsten
moin,
Der erste DNS löst in die IP-Adresse auf wenn er das kann und der im Router eingetragene bekommt die Anfage zur IP-Adresse und nicht die zum Domainname.
somit:
Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.
Gruß Phil
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Dann würde das umbiegen per LMHosts auch nicht gehen. (obwohl ist ja WINS)Der erste DNS löst in die IP-Adresse auf wenn er das kann und der im Router eingetragene bekommt die Anfage zur IP-Adresse und nicht die zum Domainname.
somit:
Die abfrage auf www.dns-ok.de wird nur über den abgefragten DNS identifiziert.
Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.
Gruß Phil
Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.
Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.
Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort drin.
Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und die Einstellung im Router ändern.
Mein Vater schafft es immer wieder sich sowas einzufangen. Ich habe eher zufällig bei ihm bemerkt, dass er mir unbekannte DNS-Server in der IP-Konfiguration eingetragen hatte. Die IP bekam er weiterhin über DHCP, die DNS-Adressen waren manuell gesetzt.
Wer es selbst mal probieren will: Eine IP-Adresse lautete 93.188.162.165.
Der Unterschied:
Mit "echten" Nameservern zeigt "dns-ok.de" auf 85.214.11.195
mit dem Botnetz-DNS auf 85.214.11.194 (authoritativer Nameserver ist "localhost.")
So einfach kann es sein
Ich habe daraufhin dem Router (eine kleine Linuxkiste) beigebracht, dass externe DNS-Server per Firewall gesperrt sind und nur der Router selbst noch ungefiltert rauskommt. Entweder nutzt ein Rechner im lokalen Netz also auch den DNS-Server des Routers oder garkeinen.
Wird ein fremder DNS-Server in der IP-Konfiguration von Windows eingetragen wirst du das also schnell merken, weil keine Domains mehr aufgelöst werden können
Wer es selbst mal probieren will: Eine IP-Adresse lautete 93.188.162.165.
Der Unterschied:
Mit "echten" Nameservern zeigt "dns-ok.de" auf 85.214.11.195
mit dem Botnetz-DNS auf 85.214.11.194 (authoritativer Nameserver ist "localhost.")
So einfach kann es sein
Ich habe daraufhin dem Router (eine kleine Linuxkiste) beigebracht, dass externe DNS-Server per Firewall gesperrt sind und nur der Router selbst noch ungefiltert rauskommt. Entweder nutzt ein Rechner im lokalen Netz also auch den DNS-Server des Routers oder garkeinen.
Wird ein fremder DNS-Server in der IP-Konfiguration von Windows eingetragen wirst du das also schnell merken, weil keine Domains mehr aufgelöst werden können
Zitat von @dog:
> Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.
Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de
auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.
> Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr
selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort
drin.
Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und
die Einstellung im Router ändern.
> Und wenn ich nicht irre müsste / sollte das BSI die IP-Adresse anstatt den Domainamen zum Test rausrücken.
Theoretisch ja.
Aber das Botnetz ist nicht mehr aktiv und das BSI hat die IPs der manipulierten DNS-Server zurück-gekapert.
Wer also jetzt so einen manipulierten DNS-Server benutzt, der aber mittlerweile vom BSI kontrolliert wird, der kommt bei dns-ok.de
auf die entsprechende Warnseite.
In allen anderen Fällen würde da OK stehen.
> Ein rechner hinter einem Router kann doch nicht betroffen sein, ausser in der IP-Konfiguration wäre NICHT der Rouetr
selbst als DNS eingetragen oder irgendwelche DNS-Server, die aber händisch installiert worden wären, stünden dort
drin.
Zum einen geht es ja um genau einen Trojaner, der die DNS-Einstellungen des Rechners verändert hat.
Zum anderen gibt es heute auch Trojaner die Standardpasswörter von üblichen DSL-Routern durchprobieren können und
die Einstellung im Router ändern.
Danke,
genau das hatte ich mir schon zusammengereimt, wollte es aber sicherhalber bestätigt haben...
Gruß
Carsten
