bei einigen Internetseiten kommt seit neuestem der Hinweis „Die Seite kann nicht angezeigt werden.“ Da ich jedoch weiß, daß die Seiten erreichbar sind, drängt sich der Verdacht auf, daß sich hier jemand eingeschlichen hat. Wer könnte das sein, wie funktioniert das technisch (d.h. wo ist die zugrundeliegende Adressenliste gespeichert) und wie bekomme ich das wieder weg? *)
Das Problem tritt unter IE 6 und Firefox auf; ein Ping liefert übrigens die Antwort „Ping-Anforderung konnte Host „www.safer-networking.org“ nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.“
Die Suche mit Spybot (logischerweise nicht aktualisierte Version), AdAware und AntiVir ergab Fehlanzeige.
Gruß,
Christian
*) Die ersten beiden Fragen haben Priorität, weil das fragliche System sowieso nächste Woche plattgemacht wird. Aus diesem Grund bitte auch keine Belehrungen, daß das System korrupt ist und die einzige Lösung nur sein kann, es neu aufzuspielen.
wie funktioniert das technisch (d.h. wo ist die
zugrundeliegende Adressenliste gespeichert)
Windows wertet zur Namensauflösung zwei Quellen aus: die hosts-Datei und den angegebenen DNS-Server. Die hosts-Datei hat dabei Priorität. Sie findet sich üblicherweise unter systempfad/system32/drivers/etc/hosts. Wird diese Datei manipuliert, werden die dort eingetragenen Domänen zur den dort zugewiesenen IP-Adressen aufgelöst. Um den Zugriff auf eine namentlich benannte Adresse zu verhindern, reicht es, ihr dort eine ‚fiktive‘ IP-Adresse zuzuweisen, z. B. eine Adresse aus einem für lokale Netze reservierten Bereich.
Üblicherweise enthält diese Datei, neben einigen Kommentarzeilen, lediglich einen einzigen Eintrag:
127.0.0.1 localhost
und wie bekomme
ich das wieder weg? *)
Indem du alle nachgetragenen Zeilen löschst. Aber: So doof lassen sich Kriminelle nicht aufs Kreuz legen. Von der Original-hosts lassen sie vielmehr üblicherweise die Finger und biegen die Systemaufrufe zur Auswertung der hosts auf eigene Dateien um. Und dann hast du es sehr sehr schwer, das wieder weg zu bekommen.
Eine Alternative ist, dich auf einen vergifteten DNS-Server laufen zu lassen. Entweder wurde ein legitimer DNS-Server deines Providers oder ein in der Kette dahinter stehender gehackt, dann ist dein Rechner völlig unschuldig. Oder deinem Rechner wurde ein neuer DNS-Server unter krimineller Leitung zugewiesen. Auch hier kann der Eintrag in der Netzwerkkonfiguration wieder ganz harmlos aussehen, dafür aber Systemcalls manipuliert sein.
ipconfig /all
sagt dir zwar, welcher DNS-Server für diesen Rechner verantwortlich ist, aber auch der Systemcall für ipconfig kann manipuliert sein.
die Wirkung scheint in der Tat ähnlich zu sein aber das Ding ist es sicherlich nicht, da die aufgelisteten Seiten funktionieren (ich habe natürlich nicht alle durchprobiert).
Üblicherweise enthält diese Datei, neben einigen
Kommentarzeilen, lediglich einen einzigen Eintrag:
127.0.0.1 localhost
Habe ich als erstes kontrolliert.
ipconfig /all
sagt dir zwar, welcher DNS-Server für
diesen Rechner verantwortlich ist, aber auch der Systemcall
für ipconfig kann manipuliert sein.
Wirft die beiden Arcor DNS-Server aus.
Interessante neue Entwicklung: Mit neuer Signatur von heute 14:30 Uhr wirft AntiVir einen Fund des Trojaners Dldr.DNSChanger.gen aus, kann diesen aber nach eigenem Bekunden auch entfernen.
der Umweg also. OK, damit wäre die Seite erreichbar, was schon
mal weiterhilft. Was bedeutet das für mein „Problem“?
eins nach dem anderen. Jetzt mach bitte mal ein
nslookup safer-networking.de
und poste die Ausgabe. Damit prüfen wir, ob es ein Problem des Nameservers ist. Falls ja -> kein Trojaner, Problem gelöst. Falls nein -> suchen wir weiter.
Interessante neue Entwicklung: Mit neuer Signatur von heute
14:30 Uhr wirft AntiVir einen Fund des Trojaners
Dldr.DNSChanger.gen aus, kann diesen aber nach eigenem
Bekunden auch entfernen.
das passt zur Symptomatik. Scheint ein recht gewiefter zu sein, denn nslookup funktioniert ja wie gewohnt, es werden also nur die Systemaufrufe anderer Anwendungen wie bspw. der Browser „umgebogen“.
Mach mal das mit dem entfernen durch AntiVir, aber verlass Dich nicht darauf, dass das a) vollständig funktioniert und b) diese Malware nicht noch anderes nachgeladen hat.
Wenn Du kein wirklich aktuelles Backup Deiner Daten hast, wäre jetzt - JETZT! - ein geeigneter Zeitpunkt dafür. Nutze den Rechner bis zur Neuinstallation sparsam und nach Möglichkeit nicht mehr für wichtige und/oder vertrauliche Daten. Er muss als kompromittiert gelten.
Interessante neue Entwicklung: Mit neuer Signatur von heute
14:30 Uhr wirft AntiVir einen Fund des Trojaners
Dldr.DNSChanger.gen aus, kann diesen aber nach eigenem
Bekunden auch entfernen.
das passt zur Symptomatik. Scheint ein recht gewiefter zu
sein, denn nslookup funktioniert ja wie gewohnt, es werden
also nur die Systemaufrufe anderer Anwendungen wie bspw. der
Browser „umgebogen“.
wie lästig. Ich werde mal die Systemverzeichnisse nach kleinen Dateien durchforsten, die in den letzten Wochen geändert worden sind. Das müßte ja dann die „neue hosts“-Datei sein. Dann durchsuche ich noch alle Dateien nach den gesperrten URL. Schaun mer mal.
Mach mal das mit dem entfernen durch AntiVir, aber verlass
Dich nicht darauf, dass das a) vollständig funktioniert und b)
diese Malware nicht noch anderes nachgeladen hat.
Nö, keine Sorge (bezieht sich auf das Verlassen).
Wenn Du kein wirklich aktuelles Backup Deiner Daten hast, wäre
jetzt - JETZT! - ein geeigneter Zeitpunkt dafür. Nutze den
Rechner bis zur Neuinstallation sparsam und nach Möglichkeit
nicht mehr für wichtige und/oder vertrauliche Daten.
Auf der Kiste ist schon seit gut zwei Jahren nichts mehr drauf, was wichtig, vertraulich oder unersetzlich wäre.