|
|
| Autor |
Nachricht |
Humdinger
Anmeldungsdatum: 15.01.2005
|
|
 Nach oben |
|
 |
Kai Schmerer
ZDNet Redaktion
Anmeldungsdatum: 23.02.2004
Wohnort: München
|
|
| Nach oben |
|
|
Humdinger
Anmeldungsdatum: 15.01.2005
|
 Verfasst am: Di 17. Jan 2012, 10:18 Titel: |
|
|
Mir ist das nicht ganz klar, wieso ein mit dem Rootkit TDDS/TDL4 infizierter Rechner auf www.dns-ok.de überhaupt zugreifen soll? Wenn das System DNS manipuliert wurde, leitet es doch sowieso irgendwo hin um. Warum soll es dann diese Seite anzeigen?
Auch auf den bereits angeführten ZDNet Seiten habe ich dazu keine plausible Erklärung gefunden.
MFg
Humdinger
|
|
| Nach oben |
|
|
christoh
Anmeldungsdatum: 12.10.2006
|
| Verfasst am: Di 17. Jan 2012, 12:01 Titel: |
|
|
Das Rootkit leitet ja auf die DNS-Server der Kriminellen um. Diese Server sind inzwischen durch welche vom FBI ersetzt worden.
Das FBI hat jetzt auf Bitten des BSI/BKA auf diesen DNS-Servern eine eigene Zone für dns-ok.de außerhalb der offiziellen Hierarchie eingerichtet, die auf den Webserver mit dem roten Balken zeigt.
Die offzielle Registrierung zeigt hingegen auf den Webserver mit dem grünen Balken.
Technisch gesehen begeht das FBI auf Bitte des BKA eine DNS-Fälschung. Das ist aber vertretbar, da BKA und BSI als Betreiber von dns-ok.de das explizit so wünschen.
Hat das Rootkit die DNS-Server manipuliert, bekommt man seine DNS-Antwort vom FBI und sieht den roten Balken. Über die offizielle DNS-Hierarchie kommt man zum grünen Balken.
Sehr lustig übrigens, dass der Sprecher des BSI in der Tagesschau gesagt hat, man habe sich von November bis Januar Zeit genommen, um diesen Test zu entwickeln.
Das dauert bestenfalls ein bis zwei Tage inklusive aller Formalitäten wie Registrierung der Domain dns-ok.de.
Aber man musste ja eine Antwort geben, warum man erst jetzt die Öffentlichkeit informiert hatte und nicht schon bei Bekanntwerden im November.
Gruß
Christoph H. Hochstätter
PS: Falsch ist übrigens die Aussage, dass der Test auch funktioniert, wenn ein Trojaner nur die hosts-Datei manipuliert hat, wie oft zu lesen ist.
Der Test kann nur manipulierte DNS-Server entdecken. Erfolgt die Namensauflösung über eine lokale Datei, dann werden die FBI-Server ja gar nicht involviert.
|
|
| Nach oben |
|
|
Humdinger
Anmeldungsdatum: 15.01.2005
|
| Verfasst am: Mi 18. Jan 2012, 08:59 Titel: |
|
|
Danke für die Ausführungen. Das ist aber nicht ganz korrekt; | Zitat: | | Der Test kann nur manipulierte DNS-Server entdecken. |
Es wird nicht allgemein auf der Seite geprüft ob ein DNS Changer aktiv ist. Es wird hier offenbar nur getestet, ob man sich die Schadsoftware "DNS-Changer-Botnetz"(Rootkit TDDS/TDL4)eingefangen hat.
Bei meinen 2 Versuchen mit manipulierter DNS erhielt ich nämlich keine Warnung. Diese Seite ist daher nur geeignet um zu testen, ob man sich diese Schadsoftware eingefangen hat oder nicht. Ob die DNS anderweitig manipuliert wurde lässt sich dadurch nicht ermitteln.
MFg
Humdinger
Und die im Netz schwirrende Behauptung man würde das beim HijackThis Log anhand der 17er Einträge erkennen ist falsch! Erstens ist das Tool in die Jahre gekommen und zweitens verdecken Rootkits heutzutage leicht solche Spuren!
|
|
| Nach oben |
|
|
Drextus
Anmeldungsdatum: 30.01.2012
|
| Verfasst am: Mi 22. Feb 2012, 17:47 Titel: |
|
|
So ging mir das auch....
Beim ersten Durchlauf hat der mir was angezeigt, beim zweiten Durchlauf aber nicht mehr... Ohne das ich was gemacht habe...
|
|
| Nach oben |
|
|
CrazyBoris
Anmeldungsdatum: 15.12.2012
|
| Verfasst am: Sa 15. Dez 2012, 19:04 Titel: Re: BSI warnt vor "DNS-Changer" |
|
|
Dieser DNS Changer hat bei mir auf der Arbeit eingeschlagen wie eine Granate. Auf meine Warnungen, die Sicherheitsvorkehrungen seien nicht gut, hat keiner reagiert :-/
Ist die Gefahr noch immer gegeben?
LG
|
|
| Nach oben |
|
|
|
Registrieren
Suchen
FAQ
Login
