Wieso ändert Spyware oder Virus den DNS-Eintrag ?
Hi zusammen,
ich habe da mal eine ganz dumme Frage: Meine IP und mein DNS-Server krieg ich vom Router, also die Konfiguration in der Netzwerkverbindung (WindowsXP) ist auf "automatisch beziehen" gestellt. Klappt auch prima.
Jetzt habe ich mir Spyware, Malware oder einen Virus eingefangen, der mir den DNS-Eintrag auf eine feste IP (85.xxxx) gestellt hat.
Was bringt das ? Gibts gebührenpflichtige DNS-Sever oder sowas ?
Greets
Karlheinz
ich habe da mal eine ganz dumme Frage: Meine IP und mein DNS-Server krieg ich vom Router, also die Konfiguration in der Netzwerkverbindung (WindowsXP) ist auf "automatisch beziehen" gestellt. Klappt auch prima.
Jetzt habe ich mir Spyware, Malware oder einen Virus eingefangen, der mir den DNS-Eintrag auf eine feste IP (85.xxxx) gestellt hat.
Was bringt das ? Gibts gebührenpflichtige DNS-Sever oder sowas ?
Greets
Karlheinz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 24014
Url: https://administrator.de/forum/wieso-aendert-spyware-oder-virus-den-dns-eintrag-24014.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
5 Kommentare
Neuester Kommentar
Bei Freenet ist das, soweit ich weiss, ein bischen anders.
Freenet schaltet einen Zwangsproxy dazwischen, der bei der ersten
HTTP Anfrage auf die Freente Seite umbiegt.
Bei dem vom Threadersteller beschriebenen Phänomen liegtd as etwas anders,
da wird bei jeder Anfrage (theoretisch auch andere Protokolle) auf eine IP umgeleitet,
da der DNS Server immer die gleiche IP zu einer Namensanfrage zurückliefert.
Wird auch zum Weiterverteilen von weiterer Spyware/Malware verwendet, da man ja
weiss, wo der Betroffene hinsurft ....
Gruss
cykes
Freenet schaltet einen Zwangsproxy dazwischen, der bei der ersten
HTTP Anfrage auf die Freente Seite umbiegt.
Bei dem vom Threadersteller beschriebenen Phänomen liegtd as etwas anders,
da wird bei jeder Anfrage (theoretisch auch andere Protokolle) auf eine IP umgeleitet,
da der DNS Server immer die gleiche IP zu einer Namensanfrage zurückliefert.
Wird auch zum Weiterverteilen von weiterer Spyware/Malware verwendet, da man ja
weiss, wo der Betroffene hinsurft ....
Gruss
cykes
Hier noch mein Senf,
wie von cykes beschrieben, kann ein "feindlicher" DNS-Server namen zu falschen IPs auflösen. Damit kann der Angreifer wie beschrieben immer auf die gleiche Website verweisen. Das ist aber noch nicht ganz so dramatisch. Viel dramatischer ist es, wenn der Server auf den das ganze umgebogen wird sich wirklich als die Seite zu erkennen gibt, die man erwartet. z.B. google.
Jetzt kommts noch härter: Man stelle sich vor der "feindliche" Server gibt sich nun auch noch als Mail-Server aus. Dieser sendet die von dem befallenen Rechner aus gesendete Mails korrekt weiter, behält sich aber eine Kopie. Bei Privatpersonen vielleicht nicht ganz so schlimm, ließen sich solche Mails von Firmen jedoch sehr gut zur Informationssammlung oder zu anderen bösen Dingen nutzen. Kurz gesagt: Arbeitet man nicht direkt mit IP-Adressen (was die wenigsten tun), sondern mit normalen Domainnamen, dann ist ein befallener DNS-Server ziemlich unangenehm.
CIAO Thorsten
wie von cykes beschrieben, kann ein "feindlicher" DNS-Server namen zu falschen IPs auflösen. Damit kann der Angreifer wie beschrieben immer auf die gleiche Website verweisen. Das ist aber noch nicht ganz so dramatisch. Viel dramatischer ist es, wenn der Server auf den das ganze umgebogen wird sich wirklich als die Seite zu erkennen gibt, die man erwartet. z.B. google.
Jetzt kommts noch härter: Man stelle sich vor der "feindliche" Server gibt sich nun auch noch als Mail-Server aus. Dieser sendet die von dem befallenen Rechner aus gesendete Mails korrekt weiter, behält sich aber eine Kopie. Bei Privatpersonen vielleicht nicht ganz so schlimm, ließen sich solche Mails von Firmen jedoch sehr gut zur Informationssammlung oder zu anderen bösen Dingen nutzen. Kurz gesagt: Arbeitet man nicht direkt mit IP-Adressen (was die wenigsten tun), sondern mit normalen Domainnamen, dann ist ein befallener DNS-Server ziemlich unangenehm.
CIAO Thorsten