BSI warnt for DNS Virus 2012

#1 soeben durch die Heute Nachrichten getickert:

"gefährlicher" DNS Virus - BSI warnt! (gähn)
http://www.heute.de/ZDFheute/inhalt/9/0,3672,8448041,00.html

33.000 Rechner sind in der Hacker- / Botnetzszene wohl totale Peanuts, aber anscheinend hat nicht nur das Winterwetter sondern auch die Nachrichten schon das Sommerloch erreicht!
Ich vermute beinahe, das ganze ist eine Werbekampagne der Telekom!

Übrigens testen kann man seinen Rechner auf den DNS Virus hier: http://www.dns-ok.de/ - Wer ihn hat bitte mal melden!

Wer anderer Meinung ist wie ich, bitte auch!

#2

Zitat

Ich vermute beinahe, das ganze ist eine Werbekampagne der Telekom!

Tsts, aber die Telekom manipuliert DNS doch selbst!

Zitat

Übrigens testen kann man seinen Rechner auf den DNS Virus hier: http://www.dns-ok.de/ - Wer ihn hat bitte mal melden!

Reicht ein cat /etc/resolv.conf nicht auch dafür aus?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3

Zitat

Jagge postete
soeben .....!

11.01.2012, 23:45


Hey, such Dir einen anderen Nachrichtensender.
Wenn die Welt unter geht, verpasst Du das sonst!
:-)

T S

#4 "Heute" und Co. geben die BSI Meldung reichlich sinnentstellend wieder, es wird nicht vor einem DNS Virus "gewarnt" sondern eine Überprüfung auf Infektion empfohlen:
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Hilfe-gegen-Schadsoftware_DNS-Changer_10012012.html

Hintergrund ist, dass die Kriminellen hinter dem "DNS Changer" Botnetz im November 2011 hops genommen und die infizierten DNS Server durch "saubere" ersetzt wurden. Diese FBI Server werden nun aber "bald" abgeschaltet. Deswegen ist es sinnvoll den eigenen PC auf eine Infektion zu überprüfen, da man sonst demnächst nicht mehr online kommt.

Wie man daraus eine "dringende Warnung" vor irgendwas basteln kann ist mir schleierhaft, hier wird mal wieder Flüsterpost gespielt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 Die Meldung der seite http://www.dns-ok.de/

Zitat

Ihr System ist nicht vom Trojaner "DNSChanger" betroffen. An der Netzwerkkonfiguration Ihres Systems konnte keine Manipulation der DNS-(Domain Name System) Einstellungen festgestellt werden.

ist ziemlicher Blödsinn, da

a) keine Überprüfung auf Malware stattfindet und zumindest das Wörtchen "vermutlich" verwendet werden sollte, bzw. der Hinweis auf den Einsatz eines AV-Scanners mit aktuellen signaturen.

b) den Behörden u.U. gar nicht alle IP-Adressen der manipulierten Server/Rechner bekannt sind.

Recht guter Beitrag in swr2 "inpuls" > Link
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Angst vor Hacker-Angriff, DNS-Changer und dem Staatstrojaner - Internetnutzer trauen dns-ok.de nicht
Tja wer einmal lügt...
Ich verstehe durchaus das viele den staatlichen Behörden inzwischen nicht mehr vertrauen und Angst haben die Seite könnte ihnen einen Staatstrojaner oder sonstwas unterschieben.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7

Zitat

Tja wer einmal lügt...
Ich verstehe durchaus das viele den staatlichen Behörden inzwischen nicht mehr vertrauen und Angst haben die Seite könnte ihnen einen Staatstrojaner oder sonstwas unterschieben.

Dito, diese Meldung kam auch auf vielen News Seiten - der Otto-Normal-Verbraucher kann wirklich nicht mehr genau zwischen BKA-Trojaner, Bundestrojaner und jetzt sowas unterscheiden.
Die Leute sind sehr verunsichert (das höre ich auch immer wieder) und der staatliche Umgang hat einfach nur noch Öl ins Feuer gegossen.

Und wie joschi ja schon gesagt hat, auf so einen Kurztest kann man sich ja jetzt nicht wirklich verlassen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8

Zitat

Tsts, aber die Telekom manipuliert DNS doch selbst!

Zitat

Reicht ein cat /etc/resolv.conf nicht auch dafür aus?

Hm...
<CTRL>+<ALT>+<t>

Faun@Skydiver ~ $ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 66.244.95.20
nameserver 68.68.18.197

ich würde sagen, da hat die Telekom/T-Online/T-Com/oder-wie-auch-immer ausmanipuliert. Häufig klappten da Auflösungen plötzlich nicht mehr - das nervte, ergo: opennicproject.org, und manipuliert ist da auch nüscht (naja, kein Wunder ;-) ). Und das mancher Manschetten davor bekommt, Software vom BSI zu installieren, kann ich gut verstehen.

Immer schön die Kisten sauber halten...
Faun

#9

Zitat

Immer schön die Kisten sauber halten...

Gibt ja doch noch Menschen die nen echtes OS installiert haben,
aber irgendwann ist man es auch Leid sich mit diesem pseudo Mist rumzuschlagen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 Schön ist auch www.dns-okay.de dort gibt es eine Fake-Seite mit Einhörnern:
http://www.taz.de/%2185480/

Der Spaß hat den ernsten Kern, das Betrüger leicht eine fast gleichlautende Seite aufsetzen können. Hier kann man sich schon mal fragen warum man auf der Original Seite z. B. kein SSL einsetzt um sie (mehr oder weniger) eindeutig zu identifizieren?!
Wenn das BSI solche Aktionen künftig häufiger durchführen will, gibt es noch einiges an Lernbedarf.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#11

Zitat

Der Spaß hat den ernsten Kern, das Betrüger leicht eine fast gleichlautende Seite aufsetzen können. Hier kann man sich schon mal fragen warum man auf der Original Seite z. B. kein SSL einsetzt um sie (mehr oder weniger) eindeutig zu identifizieren?!

Wo wir gerade beim Thema sind, habe gestern eine Amazon phishing Seite gemeldet.
Die hieß: http://218.103.114.229/amazon/ - sah auch täuschend echt aus.
Im Grunde war es die Amazon Seite quasi mirrored, alles hat funktioniert auch die Suche usw. daher war die Seite auch lokalisiert - das einzige was mich gleich stutzig gemacht hat war der fehlende forward DNS.
Der Link kam in einer Mail in der einem auf sehr gutem Deutsch klar gemacht worden ist, dass der betroffende Account gesperrt worden ist und man sich doch bitte authentifizieren sollte.
Wurde dann auch zum Glück sehr schnell vom Netz genommen:

Zitat

Dear Sir / Madam,

Thank you for your mail.

Netvigator has commenced actions to further investigate the fraudulent web site,
and where found to be validated, will commence removal / shutdown procedures.

Regards,
Netvigator Postmaster
PCCW Ltd
postmaster@netvigator.com

__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#12 Die Frist zur Abschaltung der provisorischen DNS-Server wurde bis Juli verlängert (der geplante Abschalttag war heute).

Nach Angaben des FBI sind etwa 33000 Rechner in Deutschland betroffen.

Testen kann man sein System unter www.dns-ok.de
Ist das System infiziert, schafft z.B. ein kostenloses Tool von Avira Abhilfe
http://www.avira.de/dnschanger (kann man auch auf der dns-ok Seite herunterladen).