10.07.2012 14:02
Goodbye DNSChanger
Wir haben in den letzten 8 Monaten mit dem DNSChanger Botnet zu tun gehabt, siehe etwa hier oder aktuell hier.Nochmal kurz die Eckpunkte: Die Malware hat die DNS-Einstellungen der Opfer manipuliert (Windows, Linux und auch auf Routern), die Server der Bande wurden vom FBI übernommen und weiterbetrieben. Wir bekamen Informationen zu den Zugriffen auf diese Server und haben basierend auf diesen Daten gezielt die Betroffenen (über die ISPs) gewarnt.Nimmt man als Messgröße die Zahl der betroffenen IP-Adressen pro Tag, so kommen wir seit November auf folgende Entwicklung für Österreich:
(Die Datenqualität ist nicht perfekt, aber der grobe Trend ist gut ablesbar: Wir haben die Zahl der Infektionen von rund 2500 auf knapp über 1000 drücken können.)Das alles ist jetzt vorbei. Das FBI hat am 9. Juli 2012 diese Server abschalten lassen, womit bei allen noch infizierten Rechnern die DNS-Auflösung nicht mehr funktioniert, und damit das Internet so gut wie tot ist. Das wurde auch in der Presse breit getreten (WebStandard, Heise, ...).CERT.at hat damit aber auch die Sensorik verloren, wie viele IP-Adressen noch betroffen sind; dieser Schritt war aber überfällig, denn wer nach dem halben Jahr noch nicht reagiert hat, wir das wohl erst tun, wenn sein Netz nicht mehr funktioniert. Der "Notverband" ist jetzt abgerissen, jetzt schmerzt es. Das finale Aufräumen hinter dieser Malware beginnt.Wir würden uns sehr über Feedback von Seite der ISPs oder IT-Dienstleister freuen, ob das Abschalten heute überhaupt einen messbaren Effekt hatte.Autor: Otmar Lendl
(Die Datenqualität ist nicht perfekt, aber der grobe Trend ist gut ablesbar: Wir haben die Zahl der Infektionen von rund 2500 auf knapp über 1000 drücken können.)Das alles ist jetzt vorbei. Das FBI hat am 9. Juli 2012 diese Server abschalten lassen, womit bei allen noch infizierten Rechnern die DNS-Auflösung nicht mehr funktioniert, und damit das Internet so gut wie tot ist. Das wurde auch in der Presse breit getreten (WebStandard, Heise, ...).CERT.at hat damit aber auch die Sensorik verloren, wie viele IP-Adressen noch betroffen sind; dieser Schritt war aber überfällig, denn wer nach dem halben Jahr noch nicht reagiert hat, wir das wohl erst tun, wenn sein Netz nicht mehr funktioniert. Der "Notverband" ist jetzt abgerissen, jetzt schmerzt es. Das finale Aufräumen hinter dieser Malware beginnt.Wir würden uns sehr über Feedback von Seite der ISPs oder IT-Dienstleister freuen, ob das Abschalten heute überhaupt einen messbaren Effekt hatte.Autor: Otmar Lendl