So holen Sie DNSChanger aus Ihrem Router

DNSChanger

Heute hat das FBI den Stecker auf bösartige Server gezogen, die den Datenverkehr für Computer und Systeme verarbeiten, die mit der DNSChanger-Malware infiziert sind - und trotz monatelanger Warnungen wurden viele Benutzer infizierter Systeme durch das Herunterfahren aus dem Internet geworfen. (Einige der betroffenen Systeme sind etwas peinlich: Das New Jersey-Transitsystem war anscheinend heute Morgen von der Abschaltung betroffen.)

Aber auch wenn Ihre Windows - PCs frei von dem DNSChanger Malware sind (Sie haben geprüft, nicht wahr?) Sie können immer noch verloren Konnektivität dank der Abschaltung haben. Warum? Denn die Malware, die sich auf einem ahnungslosen PC festgefahren hatte, enthielt auch Code zum Erkennen und Eindringen in Router, die im lokalen Netzwerk gefunden wurden. Wenn DNSChanger in einen Router eindringen könnte, würde die Malware die DNS-Einstellungen ändern. Selbst wenn DNSChanger vom ursprünglich infizierten Computer entfernt wird, können die geänderten DNS-Einstellungen auf einem Router alles im lokalen Netzwerk bedeuten - einschließlich PCs, Macs, Smartphones, Tablets, Spielekonsolen und Smart-TVs -, was vom DNSChanger betroffen sein kann Herunterfahren.

Wie DNSChanger funktioniert

Geisterklick

DNSChanger war die Arbeit der estnischen Firma Rove Digital; Es erschien erstmals 2007 im Internet, verbreitete sich aber noch vor einigen Monaten. Anstatt sich wie Spyware zu verhalten oder die Computer der Benutzer nach vertraulichen Informationen zu durchsuchen, änderte DNSChanger die DNS-Servereinträge auf infizierten Computern (und erkannte manchmal Router in der Nähe) so, dass sie auf unerwünschte Nameserver verweisen, die von den Malware-Autoren kontrolliert werden, und nicht auf die DNS-Server von einem ISP oder einer Organisation bereitgestellt. Das Ergebnis ist, dass immer dann, wenn Benutzer eines infizierten Systems eine Site im Internet nachschlagen (z. B. www.digitaltrends.comoderwww.netflix.com) Die Anfrage wurde von den Servern von Rove Digital moderiert - und sie konnten ihre eigene Werbung in Seiten einfügen, die von infizierten Benutzern abgerufen wurden. Dies wiederum brachte Rove Digital Einnahmen ein - auf seinem Höhepunkt hat DNSChanger schätzungsweise mehr als 4 Millionen Computer auf der ganzen Welt infiziert und möglicherweise bis zu 15 Millionen US-Dollar an gefälschten Werbeeinnahmen für Rove Digital generiert.

Das Herunterfahren des FBI bedeutet, dass diese betrügerischen Nameserver jetzt offline sind. Computer oder Router, die von DNSChanger betroffen sind, versuchen jedoch weiterhin , Suchanforderungen an sie zu senden. Ab heute erhalten sie überhaupt keine Antwort mehr. Wenn diese Computer versuchen, www.digitaltrends.com aufzurufen, erhalten sie keine Antwort - und sie können keine Verbindung zur Website herstellen.

Überprüfen Sie zunächst, ob eine Infektion vorliegt

DNS Changer Check Rot

Stellen Sie vor dem Betrachten Ihres Routers zunächst sicher, dass alle PCs in Ihrem Netzwerk frei von DNSChanger-Malware sind. Die Malware ist nicht neu. Wenn Sie also Ihre Virendefinitionen auf dem neuesten Stand gehalten haben, sollten Sie sicher sein. Überprüfen Sie jedoch unbedingt alle PCs, die Sie in Ihrem lokalen Netzwerk verwenden - auch das alte Windows XP-Notebook in einem Schrank, den Sie nie mehr einschalten.

Die DNSChanger-Arbeitsgruppe hatte Erkennungswebsites eingerichtet, auf denen Benutzer sofort feststellen konnten, ob sie sich auf einem von DNSChanger betroffenen PC (oder einem Netzwerk) befanden. Seit dem Herunterfahren des FBI wurden diese jedoch offline geschaltet. Der beste Weg, um festzustellen, ob ein PC jetzt infiziert ist, besteht darin, ein aktuelles Computersicherheitspaket zu verwenden oder eines der kostenlosen Tools von seriösen Sicherheitsanbietern wie Symantec, Microsoft, Kaspersky, Trend Micro, McAfee und anderen zu verwenden Entfernen Sie die Malware. (DNSChanger ist eine heikle Sache: Nur Windows neu zu installieren oder zu einem Backup zurückzukehren, reicht nicht aus, um es zu entfernen.)

Es ist wichtig sicherzustellen, dass alle PCs in Ihrem Netzwerk frei von DNSChanger sind, bevor Sie versuchen, Probleme mit Ihrem Router zu beheben. Andernfalls kann eine aktive DNSChanger-Infektion Ihren Router erneut in Mitleidenschaft ziehen.

DNSChanger ist reine Windows-Malware: Macs, Telefone, Tablets, Konsolen oder andere Nicht-Windows-Geräte in Ihrem Netzwerk müssen nicht auf Infektionen überprüft werden.

Überprüfen Sie die DNS-Einstellungen Ihres Routers

Wenn DNSChanger Router angreift, infiziert es sie nicht wirklich - das heißt, die Malware installiert sich nicht selbst auf dem Router und verbreitet sich dann vom Router auf andere Geräte. Vielmehr werden die DNS-Einstellungen auf den Routern geändert, um Suchanforderungen über die nicht autorisierten Nameserver zu senden. Sie möchten sich also bei Ihrem Router anmelden, die Einstellungen überprüfen und (falls erforderlich) in funktionierende Nameserver ändern.

Leider variieren die Besonderheiten beim Auffinden von DNS-Einstellungen für einen Heimrouter stark je nach ISP und Art des von Ihnen verwendeten Heimnetzwerks. Viele Menschen haben sehr einfache Heimnetzwerke, andere sind komplizierter. (In meinem Heimnetzwerk befinden sich beispielsweise vier Router - und alle haben bizarre Konfigurationen, und praktisch nichts in meinem Netzwerk verwendet dynamische Adressierung.) Die Grundlagen sind jedoch alle gleich:

Melden Sie sich bei Ihrem Router an:  Nahezu alle modernen Router können über eine webbasierte Schnittstelle konfiguriert werden. Bei den meisten D-Link- und NetGear-Heimroutern können Benutzer im lokalen Netzwerk hier auf die Konfigurationsseite zugreifen:

//198.168.0.1/

Linksys-Router sind häufig so konfiguriert, dass sie Folgendes verwenden:

//198.162.1.1/

Die meisten anderen Heimrouter verwenden standardmäßig eine dieser beiden Adressen. Wenn keine dieser Adressen funktioniert, überprüfen Sie die Installationsinformationen, die mit Ihrem Router oder von Ihrem ISP geliefert wurden.

Finden Sie die DNS-Einstellungen Ihres Routers:  Die von Routern angebotenen webbasierten Schnittstellen variieren stark - und ändern sich manchmal erheblich mit Updates. Sobald Sie sich beim Router angemeldet haben, möchten Sie normalerweise eine Seite oder Registerkarte für "Grundeinstellungen", "Interneteinstellungen", "Internet-Setup" oder "WAN-Einstellungen" suchen. Darin möchten Sie Einträge für "Domain Name Server", "DNS Server" oder "DNS Setup" finden.

Hier ist ein Beispiel von einem älteren LinkSys-Router:

Linksys Router DNS Server (DNSChanger)

Hier ist ein Beispiel von einem aktuellen NetGear-Router:

DNS-Server des Netgear-Routers (DNSChanger)

Ihr Router ist möglicherweise so konfiguriert, dass DNS-Informationen automatisch von Ihrem Internetdienstanbieter abgerufen werden. Dies wird auch als "dynamisches DNS" bezeichnet. In diesem Fall müssen Sie nichts ändern. (Solange Ihr ISP nicht mit DNSChanger infiziert ist oder falsche Informationen liefert, ist alles in Ordnung.)

Wenn Ihr Router eine manuelle DNS-Konfiguration oder "statisches DNS" verwendet, sollten mindestens zwei Stellen für die Eingabe von DNS-Servern angezeigt werden. Diese werden häufig als "primär" und "sekundär" bezeichnet. (Router und die meisten anderen Geräte sind für die Verwendung mehrerer DNS-Server konfiguriert: Wenn einer ausfällt, wechseln sie zu einem anderen.) Diese werden höchstwahrscheinlich in vier Textfeldern ausgedrückt, eines für jeden Teil einer IPv4-IP-Adresse.

Überprüfen Sie die Werte:  Vergleichen Sie die DNS-Serverwerte in Ihrem Router mit dieser Liste:

64.28.176.0zu64.28.191.255
67.210.0.0zu67.210.15.255
77.67.83.0zu77.67.83.255
85.255.112.0zu85.255.127.255
93.188.160.0zu93.188.167.255
213.109.64.0zu213.109.79.255

Um festzustellen, ob eine Übereinstimmung vorliegt, beginnen Sie mit der Nummer ganz links in den IP-Adressen Ihres Routers und arbeiten Sie sich durch die Adresse rechts. Wenn beispielsweise einer Ihrer DNS-Server vorhanden 64.28.111.0wäre, würden Sie feststellen, dass der 64mit dem oben aufgeführten ersten Adressbereich übereinstimmt. Überprüfen Sie weiter, die 28Übereinstimmungen auch! Aber das 111ist nicht im Bereich von 176 bis 191 für den dritten Teil der Adresse, so dass Sie sicher sind. Wenn andererseits Ihre DNS-Serveradressen mit (sagen wir) beginnen, müssen 205Sie nicht weiter prüfen: Es befanden sich keine unerwünschten Server im Adressbereich von 205.

(Wenn Sie über einen Internetzugang verfügen, können Sie die DNS-Adressen Ihres Routers auch in einen Suchdienst auf der Website des FBI eingeben. Dies erfolgt auf die oben beschriebene Weise.)

Aktualisieren Sie Ihre DNS - Server:  Wenn die DNS - Server in Ihrem Router zu tun , fallen in die Bereiche oben, müssen Sie sie ändern Internetzugang wiederherzustellen. Ihr ISP sollte Informationen zur Konfiguration Ihres Routers einschließlich der empfohlenen DNS-Server bereitgestellt haben. Suchen Sie diese Informationen, geben Sie die richtigen Serveradressen ein (es werden mindestens zwei sein!) Und speichern Sie Ihre Änderungen.

Wenn Sie die DNS-Serverinformationen Ihres Internetdienstanbieters nicht finden können, können Sie alternativ den kostenlosen DNS-Dienst von Google verwenden: Geben Sie die Adressen 8.8.8.8sowie 8.8.4.4Ihren primären und sekundären DNS-Server ein. Selbst wenn Sie Ihre DNS-Anfragen nicht gerne an Google senden, können Sie mit den DNS-Servern von Google Ihren Router zumindest wieder online schalten, sodass Sie sich beim Support-Bereich Ihres Internetdienstanbieters anmelden (oder ihn direkt kontaktieren) können, um die bevorzugten DNS-Server zu erhalten .

Ändern Sie Ihr Router-Passwort

Wie hat DNSChanger die Heimrouter überhaupt verändert? Die meisten Router werden mit einem Standardbenutzernamen und einem Standardkennwort ausgeliefert, sodass sich neue Benutzer bei ihnen anmelden und sie einrichten können, wenn sie sie aus der Verpackung nehmen. Obwohl neuere Router ausgefeiltere Ansätze verfolgen, wurden damals, als DNSChanger zum ersten Mal erschien, buchstäblich Millionen von Routern mit nur einer Handvoll Benutzernamen und Passwörtern aus Fabriken gesendet. Die meisten Heimanwender haben diese Anmeldeinformationen nie geändert. Wenn die DNSChanger-Malware einen Heimrouter gefunden hat, hat sie im Wesentlichen die Standardkombinationen aus Benutzername und Kennwort ausprobiert und hofft, dass sie Glück hat.

Wenn die DNS-Server Ihres Routers von DNSChanger geändert wurden, wurde wahrscheinlich eines dieser Standardkennwörter verwendet. Ändern Sie während der Routerkonfiguration das Kennwort und (soweit möglich) den Benutzernamen auf dem Router in etwas Sichereres. Befolgen Sie die gleichen Regeln, die Sie für jedes andere Passwort verwenden würden: Verwenden Sie keine alltäglichen Wörter, verwenden Sie keine leicht zu erratenden Dinge wie Geburtstage oder die Namen von Verwandten oder Haustieren und verwenden Sie lange Passwörter anstelle von kurzen.