Bereits Anfang des Jahres haben wir darüber berichtet, dass weltweit mehrere Millionen Rechner von dem so genannten DNSChanger-Bot betroffen sind. Dieser Virus manipuliert eine auf dem Computer befindliche Datei, die wesentlich zur Steuerung des Internetzugriffs verantwortlich ist und leicht manipuliert werden kann. Ursprünglich wollte das FBI die beschlagnahmten Server bereits am 8. März vom Netz nehmen und das Botnetz dadurch deaktivieren.
Momentan bearbeiten Server des FBI die Anfragen der Computer, die nach wie vor mit dem DNSChanger infiziert sind. Trotz der umfangreichen Aufklärungskampagne und mehrere Angebote zur automatischen Entfernung des Bots sind nach wie vor mehrere zehntausend Computersysteme mit dem Bot infiziert. Aus diesem Grund will das FBI die Server noch bis zum 9. Juli diesen Jahres am Netz lassen. Wäre es nach dem alten Plan gegangen, wären die Server bereits am 8. März vom Netz gegangen und jeder infizierte Computer hätte dann keinen Zugriff auf Internetseiten mehr gehabt.
Bevor das FBI die Betreiber des DNSChanger-Botnetzes gefasst und deren Server beschlagnahmt hat, waren knapp vier Millionen Computer weltweit in das Netz integriert worden. Ein Botnetz ist ein Zusammenschluss aus mehreren Computern, die zusammengeschaltet werden um beispielsweise eine Webseite anzugreifen oder Spam-E-M-Mails zu verschicken. Um die Kommunikation des Computers abzufangen, hat der Bot den eingestellten DNS-Server geändert. Dadurch wurden Anfragen an Webseiten nicht mehr über den regulären Server des Internet Service Providers geleitet, sondern über die bereitgestellten DNS-Server der kriminellen Betreiber.
Würden diese inzwischen vom FBI ausgetauschten DNS-Server schlagartig vom Netz gehen, ohne dass die entsprechenden Dateien auf dem Computer repariert worden sind, hätten die infizierten Rechner keinen Zugriff mehr auf Webseiten. Daher kann das FBI die DNS-Server nicht einfach abschalten. Wieso jedoch entsprechende Computer nicht zu einer Webseite mit einem Warnhinweis weitergeleitet werden ist unklar. Dies wäre aus technischer Sicht kein Problem und würde aller Wahrscheinlichkeit nach die letzten Nutzer auf die Infektion aufmerksam machen. Durch das sehr passive Vorgehen des FBI steht die Vermutung im Raum, dass man den Internetverkehr der betroffenen Benutzer belauscht oder das Botnetz für eigene Zwecke benutzt. Abzuwarten bleibt auch, ob sich die Zahl der infizierten Computer durch die Verlängerung der Frist noch drastisch reduzieren wird.
Wer seinen Computer auf eine Infektion mit dem DNSChanger-Bot überprüfen möchte, kann dies kostenlos auf der Internetseite des
BSI tun. Dort findet man nicht nur weitere Hinweise zu dem Thema, sondern auch eine Anleitung wie der DNSChanger wieder vom Computer entfernt werden kann.
