Das derzeit weltweit bestgetarnte Rootkit verteilt intensiv einen DNS Trojaner

Es ist außer Stuxnet und Duqu der derzeit bestentwickelte Schadcode. Dieser verteilt gerade fleißig den Trojaner namens DNS Changer, der schon die Kontrolle von über 4 Mio. PCs hat. Das Rootkit namens TDSS (auch unter TDL4 oder Aleureon bekannt) ist sehr schwer zu entdecken.

Es stellt allerlei mit einem infizierten PC an. Es installiert Software um Webseiten anzugreifen, Key Logger, und vielfältigen anderen Schadcode. Einmal installiert ist DNS Changer in der Lage DNS Systeme zu verändern, um so die Einstellungen von Netzwerkinfrastrukturkomponenten zu verändern. Die Veränderungen sind so weitreichend, dass ganze DNS Systeme durch andere DNS Server, die unter der Kontrolle des Verursachers stehen, ersetzt werden. Weiterhin werden infiltrierte Systeme hinter den infizierten DNS Servern anstatt auf die vom User beabsichtigten Webseiten, auf destruktive Webseiten weitergroutet, die dann weiteren Schaden anrichten können.

In Estland und Russland wurden vergangene Woche sieben Personen festgenommen, die seit mehr als 5 Jahren das Rootkit einsetzen und damit 14 Mio. Dollar Profit erwirtschaftet haben sollen. Dies konnten sie, in dem sie ihre Opfer auf Webseiten routeten, auf denen Werbedienstleistungen von Dritten wie z.B. Google Adwords installiert waren, und die somit Geld generierten, von dem die Kriminellen profitierten. Es infiziert auch 64 Bit-Versionen von Windows.

Das Schlimme an einer TDSS-Infektion ist, dass sie einen ganzen Cocktail an Schadcode nach sich zieht wie, Zeus Banking, Rogue AV und vieles mehr. Hat man DNS unter Kontrolle, hat man ganze Systeme unter Kontrolle, das ist in der Sicherheitsbranche weitestgehend bekannt. Wenn ich etwas als erstes versuche anzugreifen, dann die DNS-Server.

DNS-Systeme, die mit TSIG oder DNSSEC abgesichert sind, sind anfälliger als DNS-Systeme, die mit DNS-Curve aufgesetzt sind, da diese auf der nicht manipulierbaren elliptischen Kurve namens „Curve25519“ basieren. DNSCurve schützt die Integrität, Authentizität und Vertraulichkeit (im Gegenzug zu DNSSEC, das nur Integrität und Authentizität schützt). Ein sicherheitsmodifizierter Forwarder auf der Serverseite und ein sicherheitsmodifizierter DNS-Cache auf der Client-Seite sind dazu notwendig.

TDSS wird durch Antivirus-Software bisher nicht erkannt. Wer wissen möchte ob er infiziert ist, der sollte die DNS Einstellungen auf Betriebssystemen und Routern überprüfen . Infizierte Systeme zeigen auf die folgenden IP Ranges:

85.255.112.0 bis 85.255.127.255

67.210.0.0 bis 67.210.15.255

93.188.160.0 bis 93.188.167.255

77.67.83.0 bis 77.67.83.255

213.109.64.0 bis 213.109.79.255

64.28.176.0 bis 64.28.191.255

Mit dem Kommando „ipconfig/all“ kann dies mit der Commandozeile unter Windows überprüft werden. Auf dem Mac über Einstellungen, Netzwerk, dann der „Erweitert-Knopf“ der aktiven Verbindung klicken.

Es ist größte Vorsicht geboten!