Gerade habe ich in den Sat-1-Nachrichten gehört, dass das FBI alle Pcs mit einem bestimmten Trojaner auf dem Pc vom Netz trennen wird.
Ich habe direkt folgende Seite gegoogelt: http://diepresse.com/home/techscience/i … et-trennen
Was heißt das denn jetzt schon wieder? Ist das ne Ente?
Oder kann das FBI meinen Pc wirklich vom Inet trennen :shock:
Mich erschreckt die Vorstellung. Woher finden die denn heraus, dass gerade ICH den Trojaner habe? Ich meine, ich habe ihn NICHT auf dem Pc, aber einige sollen ihn ja haben… Und das soll man mit der im Link angegebenen Testseite herausfinden können. Scannen die meinen Pc in der kurzen Zeit ö.ö
Ich versteh das alles nicht, aber es beunruhigt mich. Kann mir das jemand verraten? Wäre das nicht sogar was für Holgers Sendung?
Gut, es hat nichts mit dem Fernsehen zu tun, außer dass es in den Nachrichten gesagt wurde. Aber trotzdem halte ich die Angelegenheit für wichtig… ABer kann auch sein, dass es nichts für Holger ist.
Kurzfassung:
Das FBI hatte vor einigen Monaten ein Botnetzwerk hochgenommen. Zu diesem Botnetzwerk gehören Server, über die die Kommunikation von infizierten Rechnern umgeleitet wird. (Insgesamt sind wohl mehrere Millionen Rechner davon betroffen.)
Das FBI hat diese Server erstmal übernommen und weiterlaufen lassen, damit die Leute nicht ohne jede Vorbereitung vom Internet abgetrennt werden. Im März sollen dann aber diese Server, die ja von Verbrechern stammen, endgültig abgeschaltet werden. Wer betroffen ist und bis dahin den Rechner nicht säubert, kann dann nicht mehr vernünftig surfen, da alle Anfragen ans Internet nun ins Leere laufen würden.
Brauchen sie nicht.
Wie der Name sagt, ändert der Trojaner DNS-Abfragen („Welche IP gehört zu dieser Domain?“, vereinfacht gesagt) ab und leitet dich beim Aufruf bestimmter Seiten um (wie es z.B. auch die Telekom standardmäßig macht, wenn man eine nicht registrierte Domain aufrufen möchte - da landet man dann auf der Telekom-Google-Suche).
Jetzt muss beim Aufruf der Testseite nur Material von einer der manipulierten Seiten (ja, ich weiß, ist schief, die Seiten selbst sind ja nicht manipuliert) abgerufen und geschaut werden, von welcher IP dein Browser die Sachen holen will. Stimmt die von deinem Browser abgerufene IP mit der Liste der Testseite überein, bist du sauber.
Wobei mich da interessieren würde, wie schnell die Angreifer den Trojaner umstellen können, dass er von der Testseite nicht entdeckt wird.
Aber wie das FBI die infizierten Rechner vom Netz trennen will …
Da könnte man fast auf die Idee kommen, der Trojaner kommt ursprünglich aus Quantico, Virginia.
Edit: Ah, okay, das ist natürlich plausibel. Dann muss eben nur geschaut werden, ob die Anfrage auf die Testseite über einen Server des Botnetzes geroutet wird.
Jetzt sehe ich etwas klarer! Ich kenne das Kürzel „DNS“ nur aus der Genetik und hab das nicht mit der „Online-DNS“ in Verbindung gebracht
Ich glaub, das Virus hatte ich mal… Ständig wurde ich da, wenn ich bei Google was angeklickt habe, auf ne Bigpoint-Seite geleitet, musste zurück gehen und erneut drauf klicken… Wenn ich Glück hatte, klappte es dann. Bin ich aber wieder los geworden…
Wie gesagt: Danke Leute!
LG und bb dann mal… Ist für mich abgeschlossen^^
Jetzt muss beim Aufruf der Testseite nur Material von einer der manipulierten Seiten (ja, ich weiß, ist schief, die Seiten selbst sind ja nicht manipuliert) abgerufen und geschaut werden, von welcher IP dein Browser die Sachen holen will. Stimmt die von deinem Browser abgerufene IP mit der Liste der Testseite überein, bist du sauber.
Es läuft viel einfacher und (nu eher im Hinblick auf das Eröffnugnsposting) ohne Überwachung oder ähnliches. Die Testseite ist rein statisch und enthält keinen Code, der irgendetwas überprüft. Es läuft ganz einfach so:
Ruft der eigene Rechner die IP für http://www.dns-ok.de ab, dann liefert der DNS-Eintrag die IP des Rechners, der die „Alles ist OK“-Seite ausliefert.
Ist man allerdings manipuliert und fragt man die IP für http://www.dns-ok.de vom Ex-Botnetz-Server ab, dann bekommt man jetzt die IP des Rechners, der die „Du bist betroffen“-Seite ausliefert.
Ja, ich gestehe, ich hatte den Artikel nicht gelesen und war deshalb nicht davon ausgegangen, dass der komplette Datenverkehr über die Botnetz-Server läuft.
Deshalb das Edit als Antwort auf Barus Posting (weil ich das nicht alles wieder löschen wollte - wäre rückblickend vielleicht sinnvoller gewesen).
