Naja, die ganze Sache ist schon etwas älter.
Im November 2011 hatte heise darüber berichtet:
Operation Ghost Click: FBI nimmt DNSChanger-Botnetz hochIrgendwelche Malware ändert bei befallenen Rechnern den Eintrag für den DNS-Servern. Danach werden nicht mehr die normalen DNS-Server gefragt, sondern eben spezielle präparierte Rechner, die bei einer Abfrage auch gezielt falsche IPs liefern können.
Als zweite Gemeinheit hat diese Malware auch einen DHCP-Server eingebaut, damit auch die Einstellungen nicht befallener Rechner oder Geräte im gleichen lokalen Netzwerk geändert werden können.
Das FPI hat damals diese präparierten DNS-Server übernommen und weiter betrieben. Sobald die abgeschaltet werden, können alle betroffenen Leute nicht mehr "ins Internet", da dieser untergeschobene DNS-Server nicht mehr da sind. Also genauso, als ob man falsche DNS-Server-Einstellungen macht.
Vom FBI gibt es eine kurze Anleitung, mit der man schauen kann, ob man betroffen ist:
DNSChanger MalwareDer bei SpOn erwähnte Test ist auch recht simpel. Man soll die Website
www.dns-ok.de aufrufen.
- Ist man nicht betroffen, liefert einem der nromale DNS-Server die IP für einen Telekom-Server auf dem die Meldung erscheint: "Alles klar."
- Ist man betroffen, wird ja der präparierte DNS-Server befragt und auf dem hat das FBI absichtlich einen falschen Eintrag eingetragen, welcher eine andere IP liefert, die zu einem Telekom-Server führt auf dem die Meldung erscheint: "Befallen."
Allerdings funktioniert dieser Telekom-Server gerade nicht, da die nicht damit rechnen konnten, dass jemand das aufruft und der Server unter der Last etwas zusammengebrochen ist.
Also gucken nach obiger Anleitung vom FBI geht auch.
