Keine Angst vor dem aktuellen Trojaner + Lösungen & Aufklärung

[Perfect_Fury]

Zurzeit geht ja überall die Panik rum ein "neuer"
Superduperhypermegahammerkrasserultrafuckingzerstörerischer "Virus" rum
und killt alles und jeden So wird das zumindest rübergebracht.

Dabei ist es doch nichts anderes als dass dieser "Trojaner" ledigilch
die Host Datei verändert und da die IP Adressen einträgt
auf welche Seiten man weitergeleitet wird. Da könnten auch
die IP von Google oder Facebook stehen. Mehr ist das nicht !

Und dass es neu ist ist ebenfalls völliger Blödsinn das gibt es schon
seit jeher... Hier mal für alle die etwas weniger PC versiert sind
der Ablauf wie so ein Host Datei Eintrag verändert werden kann:

http://www.sempervideo.de/?p=7994

Das lustige ist ja die meisten User trauen der Seite "dns-ok" nicht

http://blog.fefe.de/?ts=b1f19b0c

Wer ebenfalls dazu gehört sollte sich mal die Analyse von CHIP
anschauen. Diese geben alternative Möglichkeiten dazu
sich testen zu lassen:

http://www.chip.de/news/DNS-Changer-..._53766668.html

Und das beste zum Schluss. Frank Rieger, Felix von Leitner
und Constanze Kurz vom Chaos Computer Club hatten bereits
vor einer Zeit in ihrem Alternativlos Podcast über den
Bundestrojaner ausführlich gesprochen und diesen auseinander gebaut
und analysiert. Ihr könnt es direkt im Browser anhören
oder es runterladen und z. B. auf den MP3 Player packen
und unterwegs hören. Damit sollten 90% aller Fragen dazu
beantwortet sein

http://alternativlos.org/19/

[aNtiCHrist]

Du wirfst da viele Sachen durcheinander, die nichts oder nur wenig miteinander zu tun haben.

Dass nun, nachdem die von DNS-Changer eingetragenen DNS-Server bereits seit November unter die Kontrolle des FBI gekommen sind und AFAIK seitdem korrekte Daten liefern, auf einmal so eine Medienkampagne gestartet wird, ist tatsächlich etwas seltsam. Die Malware gibt es nicht erst seit gestern und zu den Zeiten, als die entsprechenden DNS-Server noch falsche Ergebnisse lieferten, war das Problem sogar noch größer. Es geht wohl vor allem darum, dass nicht plötzlich tausende Nutzer sich bei ihrem Zugangsanbieter beschweren, weil sie nach der Abschaltung der eingetragenen DNS-Server plötzlich praktisch vom Netz abgeschnitten sind.

Manipulierte DNS-Antworten sind übrigens keineswegs so harmlos, wie du sie darstellst. Darüber lassen sich Nutzern leicht Phishing-Webseiten oder Programme mit Malware-Beigabe unterschieben. Wer kontrolliert in der Praxis schon digitale Signaturen heruntergeladener Dateien oder prüft, ob eine Webseite wirklich über HTTPS aufgerufen wurde? Auch lassen sich bei Webseiten ggf. Authentifizierungs-Cookies ausspähen.

Dass DNS-Changer nicht nur die HOSTS-Datei zu manipulieren versucht, kannst du sogar in dem von dir genannten Chip-Artikel nachlesen. Dementsprechend seltsam ist die Verlinkung des Videos, die nur diese Thematik (dafür aber unnötigerweise auch in Richtung Spoofing) behandelt. Ein kompromittiertes System sollte eh neu aufgesetzt werden, insofern sind die Bereinigungswerkzeuge von zweifelhaftem Nutzen.

Die Verbindung zum Bundestrojaner ist doch sehr konstruiert. Es handelt sich bei der Webseite http://www.dns-ok.de/ um eine extrem einfach gehaltene HTML-Seite, in die lediglich drei GIF-Bilder eingebunden sind. Keine Scripte, keine Plugins, nicht mal ein externes Stylesheet wird nachgeladen. Ich kann nicht erkennen, wie man da auf die Idee kommen sollte, dass man sich dort irgendwelche Malware einfangen könnte. Wer davor Angst hat, sollte seinen Rechner nicht ans Netz hängen, denn jede Webseite könnte für solche Zwecke genutzt werden.

[Perfect_Fury]

Das komische ist nur ich habe nichts aus der ausländische Presse
gerade ausm Ami Umfeld davon was mitbekommen. Auch keine Links
inner deutschen Presse von gesehen.

Naja ich hab mich lediglich auf die Artikel bezogen da stand ja dass
man "nur" auf solchen Spamseiten weitergeleitet wird wo man sich
Stuff bestellen soll oder muss oder kann. Daher hab ich das nicht
ernst genommen weil wer sich von solchen Sites was bestellt... naja ^^
An sich ists natürlich möglich dass man gleich ein Drive-By Virus bekommt
bloß beim Aufrufen der Seite. Aber selbst wenns httpS ist - SSL Zertifikate
kann man ja auch fälschen. Letztes Jahr sind doch sogar ORIGINAL Zertifikate
geklaut worden von soner Firma die das ausstellt.

Das Programm womit man Cookies klonen kann das gab oder gibt es ja
sogar öffentlich. Also auf Commerz Seiten mein ich.
Hab nur vergessen wie das heißt -.- Könnte jemand vlt. den Namen von sagen?

[aNtiCHrist]

Das komische ist nur ich habe nichts aus der ausländische Presse
gerade ausm Ami Umfeld davon was mitbekommen.

Ich bekomme ja auch nicht alles mit, aber wenn man danach sucht, findet man durchaus etwas:
http://www.nytimes.com/2011/11/10/te...ud-scheme.html
http://www.theregister.co.uk/2011/11..._malware_scam/
http://www.informationweek.com/news/...acks/231902762
http://www.pcworld.com/article/24374...rime_ring.html

Auch keine Links
inner deutschen Presse von gesehen.

Du hast doch selbst den Chip-Artikel genannt? Oder was meinst du genau? Zu der Aktion im November letzten Jahres gab es auch Meldungen, siehe z. B. http://www.heise.de/security/meldung...h-1376540.html. Oder zur DNS-OK-Website unter http://www.heise.de/security/meldung...f-1407567.html, wobei dieses Thema offenbar so breitgetreten wird, dass die deutschsprachigen Google News sogar den Begriff DNS in den Schlagzeilen auflisten.

Naja ich hab mich lediglich auf die Artikel bezogen da stand ja dass
man "nur" auf solchen Spamseiten weitergeleitet wird wo man sich
Stuff bestellen soll oder muss oder kann.

Welche Artikel genau. Es ist auch keine Weiterleitung, sondern eben eine falsche Auflösung von Hostnamen in IP-Adressen durch DNS-Server, die in den betroffenen Systemen hinterlegt werden und über DHCP auch andere Systeme betreffen können.

An sich ists natürlich möglich dass man gleich ein Drive-By Virus bekommt
bloß beim Aufrufen der Seite.

Das ist nicht unbedingt das Hauptproblem. In den meisten Fällen wird das System ja eh bereits kompromittiert sein, insofern ist eine erneute Kompromittierung dann nicht mehr nötig. Nur wenn die Manipulation an einem DHCP-Server möglich ist bzw. wenn ein kompromittiertes System selbst DHCP-Server spielt, wird das relevant.

Aber selbst wenns httpS ist - SSL Zertifikate
kann man ja auch fälschen. Letztes Jahr sind doch sogar ORIGINAL Zertifikate
geklaut worden von soner Firma die das ausstellt.

Es wurden wohl eher Zertifikate unberechtigt und ohne irgendeine Prüfung ausgestellt. Das Problem ist allerdings das gleiche. Wer keine Fingerprints vergleicht, wird solch ein irreführendes Zertifikat nicht bemerken.

Das Programm womit man Cookies klonen kann das gab oder gibt es ja
sogar öffentlich. Also auf Commerz Seiten mein ich.
Hab nur vergessen wie das heißt -.- Könnte jemand vlt. den Namen von sagen?

Du meinst möglicherweise Firesheep. Das setzt allerdings voraus, dass der Angreifer den Datenstrom mitlesen kann. In einem WLAN ist das für einen lokalen Angreifer natürlich möglich. Einem irgendwo auf der Welt befindlichen Angreifer bringt das aber normalerweise nichts. Über die DNS-Manipulation kann man den Verkehr aber auf einen beliebigen Host unter eigener Kontrolle leiten und so eben doch (selektiv nach Hostnamen) alles mitlesen. Das macht die Sache eben so problematisch.

Wenn du die Zeilen nicht immer so seltsam umbrechen würdest, sähen deine Beiträge und die Zitate daraus übrigens nicht so zerrupft aus.

[Toshiba-L-670]

wie kam das Schadprogramm auf den Rechner?

[Perfect_Fury]

@ aNtiCHrist

Ja gut beim nächsten mal sollte ich wohl erst bei Google reinschauen
und mit paar englischen Stichwörtern hantieren wie etwa fbi dns 2011 oder so

Mit dass ich das in der deu. Presse nicht gesehen habe -
gut vlt. nicht ganz richtig ausgedrückt - gemeint war
in der Springer Presse Dass Gulli oder Heise darüber berichtet
evtl. noch als einige der ersten das erwarte ich sogar bisschen

P. S. nee ich meine nicht Firesheep das kenn ich ja auch =P
Außerdem wärs ja ein Addon in dem Falle. Nene war son richtiges Programm
was man installieren muss und es hatte das Wort Cookie oder Cookies
in den Namen. Ich glaube es war auch ein Addon aber auf jeden Fall
gibt es auch ein Programm dazu. *Grübel & such*


@ Toshiba-L-670

Ich glaube die Möglichkeiten sind da zahlreich. Versetz dich in die Lage
von den Typen und stell dir vor du willst so viele Leutz wie möglich
damit erreichen. Dir wird schon was einfallen Ansonsten wette ich dass
die meisten Infections mittels Botnetze verteilt wurden sprich an die e-mail
Addys von Usern gesendet oder in Social Communities per Links
wo i-was steht wie Boah das habt ihr noch nie gesehen klick drauf etc.