Das ist schon ein besonders ungewöhnlicher Fall: Dass mit Trojaner fremde Computer gekapert werden, ist nicht weiter ungewöhnlich. Allerdings ist es neu, dass das FBI nach der Verhaftung von Internetkriminellen deren Server weiter betreibt – im Interesse der betroffenen User.
Rollen wir die Sache von hinten auf. Unter www.dns-ok.de kann man als Internetbenutzer rausfinden, ob der eigene Rechner betroffen ist, ob sich ein Rootkit eingenistet hat, das die DNS-Einstellungen manipuliert hat. Wurden Manipulationen vorgenommen, konnten die Betrüger die arglosen User auf betrügerische Seiten lotsen, unbemerkt, etwa um sensible Daten abzugreifen oder nicht erlaubte Produkte wie Medikamente zu verkaufen.
dns-ok.de dient nur einem Zweck: Herauszufinden, bin ich betroffen oder nicht. Es wird keine Software geladen, der Test geht blitzschnell. Erscheint ein grüner Balken, ist alles gut, der PC ist nicht infiziert. Erscheint ein roter Balken, ist man betroffen und sollte das Rootkit entfernen. Auf der Seite steht dann genau, wie man vorgehen sollte. Unter uns: Es wäre besser, gleich das Betriebssystem neu zu installieren, denn Rootkits zu entfernen ist äußerst schwierig und lästig.
Die Betrüger haben Server betrieben, um DNS-Anfragen (Webadresse wie www.schieb.de wird in die entsprechende IP-Adresse 87.106.214.224 umgewandelt) zu bearbeiten. Der Trick: Seriöse Webadressen wurden einfach umgeleitet auf betrügerische Angebote. Besonders schwierig, für arglose Benutzer, so etwas zu bemerken. Das FBI hat die Kriminellen dingfest gemacht, stand aber vor einem Probem: Wären die DNS-Server der Betrüger einfach abgeschaltet worden, wären alle Betroffenen augenblicklich komplett offline gewesen, denn DNS-Anfragen würden dann nicht mehr beantwortet.
Deshalb hat sich die Behörde entschlossen, die DNS-Server erst mal weiter zu betreibe, freilich ohne die Umleitung auf betrügerische Webangebote. Vorteil: Betroffene PCs können weiter online gehen. Nachteil: Sie merken gar nicht, dass sie betroffen sind. Deshalb gibt es jetzt den Text unter dns-ok.de.
Am 8. März will das FBI die DNS-Server abschalten, spätestens dann würde man merken, dass der eigene Rechner infiziert ist, weil er dann keine Antworten mehr vom DNS-Server bekommen und praktisch gar nicht mehr online gehen kann. Deshalb empfiehlt es sich, den eigenen Rechner rechtzeitig zu überprüfen und ggf. zu säubern.
