Nach der Infektion unzähliger Computer mit einer Schadsoftware empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) allen Nutzern eine Überprüfung ihrer Rechner. Bei dem Selbsttest sollen manipulierte Netzwerkeinstellungen aufgespürt werden.
Auch betroffenen Nutzern droht keine neue Gefahr mehr: Die Angreifer waren im November von der US-Bundespolizei FBI ausgehoben worden. Allerdings sollen Anfang März die provisorisch eingerichteten Server abgeschaltet werden, die von infizierten Computern angesteuert werden. Rechner mit dem Schadprogramm kommen dann schlimmstenfalls nicht mehr ins Internet. Dem FBI zufolge sind in Deutschland derzeit täglich bis zu 33.000 Computer betroffen, teilte das Bundeskriminalamt (BKA) mit.
Das FBI hatte im November bei einer Razzia gegen Computerkriminelle in New York mehr als hundert Server beschlagnahmt, über die ein sogenanntes Botnet von manipulierten PCs in aller Welt gesteuert wurde. Bei dem Schadprogramm "DNS-Changer", mit dem die infizierten Rechner befallen sind, handelt es sich eine Software, die die korrekte Übersetzung von Internet-Adressen verhindert.
"DNS-Changer" steuert gefälschte Server an
Die Angreifer hatte es damit auf eine Kernfunktion des Internet abgesehen: Damit ein Nutzer eine Webseite erreichen kann, wird die Internet-Adresse, die man in einen Browser eintippt, im Hintergrund in die lange Zahlenfolge einer IP-Adresse umgewandelt. Diese Aufgabe wird von Servern des sogenannten Domain Name System (DNS) erledigt. Die Betrüger-Bande setzte eine Masse gefälschter Server in New York und Chicago ein, die die Nutzer auf ganz andere Seiten leiteten als gewollt.
So landeten betroffene Nutzer, die zur Online-Videothek Netflix oder Apples iTunes-Seite wollten, auf den Angeboten, die die Online-Betrüger bestimmt hatten. Die "DNS-Changer"-Software auf den Computern war ein wichtiger Teil des Spiels: Sie sorgte dafür, dass statt der echten die gefälschten DNS-Server angesteuert wurden. Die Schadsoftware schützte sich selbst dadurch, dass sie Antiviren-Programme blockierte.
Damit nicht auf einen Schlag Millionen Rechner in aller Welt ausfallen, richteten die US-Behörden nach der Festnahme der Computerkriminellen zwar ungefährliche Ersatzserver ein. Die Schadsoftware auf den Computern der Nutzer blieb aber - und wenn die provisorischen Server jetzt im März wegfallen, wird der Internetverkehr von den infizierten Rechnern ins Leere gehen. Deshalb ist die Überprüfung notwendig.
Behörden bieten Online-Selbsttest an
Um sicherzustellen, dass vom eigenen Rechner nicht auf einen manipulierten Domain Name Server verwiesen wird, sollen die Anwender beim Selbsttest die Webseite www.dns-ok.de aufrufen, erläuterte das BSI. Entweder erhält der Nutzer eine grüne OK-Meldung - und muss nichts weiter unternehmen. Bei einer roten Statusanzeige sollte er die angezeigten Anleitungen befolgen, um richtigen Systemeinstellungen wiederherzustellen und gegebenenfalls Schadsoftware zu entfernen. Die Test-Seite wird von der Deutschen Telekom betrieben.
Außerdem war es den Online-Kriminellen laut Anklage gelungen, Banner-Werbung bei der Anzeige von Webseiten auszutauschen. Bei einer Verurteilung drohen den Männern im Alter zwischen 26 und 33 Jahren im Höchstfall mehrere Jahrzehnte Haft.