DNS-Changer, Frage dazu Einstellungen

[citro]

Es gibte Malware (Zlob usw.), welche die IP des Nameservers ändern kann und über einen fremden Server den Internetverkehr (Paßwörter etc.) ausgelesen werden kann.

Wenn ich mit einem Modem online ein Hijackthis-Log ansehe, fällt mir der O17 Eintrag der Telekom auf.

Beispiel:

O17 - HKLM\System\CCS\Services\Tcpip\..\{2FBED26C-F21F-4BAD-8274-DD5175FFC49D}: NameServer = 217.237.151.115 217.237.148.102


Mach ich über einen Router einen Scan mit HiJackthis, fällt der Eintrag weg.

In den Routereinstellungen kann man die DNS-Server und Gateway -IP sehen und bei den Whois-Datenbanken auswerten.

Fage: Sehe ich das richtig oder falsch ?

Danke im Voraus



edit: Ich hatte einmal versehentlich einen solchen Schädling im eingeschr. Konto ausgeführt - das ging Ruckzuck, fast unbemerkt schnell und der Server funkte über die Ukraine.

[Gast_blueX_*]

Ich bin mir nicht sicher, es ist nur eine Einschätzung:

Ein Router bezieht ja die DNS-Server automatisch, also nach den Einstellungen, die im Router gespeichert sind.
Vielleicht kann so ein Trojan.DNSChanger bei PC, die über einen Router ins Netz gehen, gar keinen Schaden einrichten?

Wenn man so einen Trojaner startet, dann müsste ja unter TCP/IP Internetprotokolleinstellungen ein abweichendener DNS-Server drinstehen, der dann von dem Schädling angelegt wird.

[Gast_Scrapie_*]

Hi

DNS in den TCP/IP-Eigenschaften hat Vorrang vor dem DNS des Routers.
Höhere Priorität hat aber noch die Host-Datei.


Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 23.12.2007, 23:31

[citro]

Diese Malware gibt es massenweise, reine DSL-Modems, denke ich nur noch wenige.

Ich glaube schon, dass der NameServer durch einen gestarteten DNSChanger (sämtliche fake Codecs) mit einem PC einschl. Router geändert werden kann.

[Gast_blueX_*]

DNS in den TCP/IP-Eigenschaften hat Vorrang vor dem DNS des Routers.
Höhere Priorität hat aber noch die Host-Datei.

Also hatte ich unrecht. Ein DNSChanger kann demnach auch auf einen Router Schaden anrichten.
Diese DNS-Changer müssten aber doch recht leicht zu ermitteln sein ...

[citro]

Diese DNS-Changer müssten aber doch recht leicht zu ermitteln sein ...

Als ich den aktiviert hatte, sah ich im DSL-Manger kurzzeitig einen riesen Upload, danach war fast alles wieder normal.
Die Verbindungsgeschwindigkeit ließ nur etwas nach, aber wer sich nicht auskennt oder so etwas nicht erwartet, ist wirklich aufgeschmissen

[Gast_blueX_*]

Du müsstest es hieraus sehen (siehe Screenshot) bzw. auch aus der manipulierten Hosts-Datei.
Wenn du einen Router hast, ist im Normalfall kein DSN-Server eingetragen. Wenn du den Trojaner startest, dann müsste sich hier ein DNS-Server einschreiben.

[citro]

Die HOSTS-Datei ist schreibgeschützt (nicht bei jedem)

Der DNS Server ( Darstellung je nach Router-Modell)



Der Beitrag wurde von citro bearbeitet: 24.12.2007, 00:31

[Gast_blueX_*]

Wenn du einen DNS-Changer-Trojaner startet, dann interessiert das was im Router eingetragen ist, nicht.
Wie Scrapie gesagt hat, sind die Einstellungen über das Internetprotokoll TCP/IP vorrangig zu den Einstellungen im Router.

[citro]

Wenn du einen DNS-Changer-Trojaner startet, dann interessiert das was im Router eingetragen ist, nicht.
Wie Scrapie gesagt hat, sind die Einstellungen über das Internetprotokoll TCP/IP vorrangig zu den Einstellungen im Router.

Genau das ist letztendlich meine Frage, woran kann man sich orientieren.

Bei einem DSL-Modem zeigt es der O17-Eintrag im HiJackThis-Log

[Gast_Scrapie_*]

Hi

Wie soll ein Programm, welches dein Router-PW (hoffentlich) nicht hat (und zudem genau wissen müsste, welcher Routertyp der User xy hat, um die entsprechenden Befehle via Telnet, etc. senden zu können) deine DNS-Server dort ändern? So habe ich zumindest dein 4. Posting interpretiert.

Hast du DHCP an und / oder IP-Adresse manuell oder automatisch beziehen an?
Wenn DHCP & autom., dann bekommt dein PC alle Infos vom Router. Der Eintrag könnte auf dem PC dann wegfallen, weil Alles dynamisch ist.

Gehst du direkt über Modem ins Netz, dann bekommst du automatisch die DNS-Server von deinem ISP zugewiesen. Funktioniert ja auch nur mit speziellem PPPOE-Treiber oder wie die heißen. Dort (in den Settings) könnten dann die Server stehen - reine Vermutung von mir.

Generell gilt aber für die Reihenfolge:
1. HOST
2. DNS in TCP/IP-Eigenschaften
3. Zugewiesene DNS (Router oder ISP bei Modem)

Ist also die Host sauber und kein fauler DNS bei den TCP/IP-Sachen, dann ist okay. In deinem Bsp. sind die DNS zudem von der TerroKom. Sollte also passen, zumindest haben die bisher noch keine Pornoseiten ausgeblendet im Gegensatz zu Arcor


Scrapie

[citro]

@scrapie

Hoi,

DHCP ist eingeschaltet. IP wird autom. bezogen.

Ich verstehe schon ungefähr wie du meinst, wie gesagt, so einen DNSChanger hatte ich mal ausgeführt (beim Hochladen zu VT), als ich noch ein reines Modem hatte und ihn ohne Virenwächter erkannt.


Könnte eine derartige Malware ausgeführt bei einer schreibgeschützten Hosts-Datei und PC (XP) mit Router - da ja extern - da noch den o.g. Schaden anrichten. Wie ich das jetzt verstehe also nicht - ausser er manipuliert zusätzlich anderes im Betriebsystem.

Sorry für das wiederholte Fragen, steh damit etwas auf der Leitung..

edit: diese Zlobs kann man sich hauptsächlich auf Schweineseiten einfangen

Der Beitrag wurde von citro bearbeitet: 24.12.2007, 11:43

[Gast_Scrapie_*]

HouHouHou, es weihnachtet sehr

Einen etwaigen Schreibschutz der HOST kann man leicht aufheben. Dazu reicht schon ne kleine Batch mit dem Befehl "attrib -R" an Anfang. Würde daher Schreibschutz nicht gerade als sicher betrachten. Einfach öfter nachsehen (oder manuell vergeben und DNS nur zu den gewählten Servern in der FW erlauben).


Schöne Bescherung,
Scrapie

[citro]

Das kann eine schöne Bescherung werden,

schöne Weihnachta, gell

[scu]

Ich hab jetzt nicht alles im Detail gelesen, aber ich meine das nicht gelesen zu haben.
Dein G DATA AntiVirus 2008 überwacht standardmäßig die Änderung der "hosts"-Datei. Als Option zu finden unter "AntiVirus > Optionen > Weitere > Systemschutz".

Bei der InternetSecurity sind die Regeln in der Firewall auch standardmäßig so eingestellt, dass für die svchost.exe auf Port 53 nur DNS Server zugelassen werden, welche als Primärer und Sekundärer DNS Server eingetragen sind.

Nur so zur Info...

Der Beitrag wurde von scu bearbeitet: 25.12.2007, 19:55

[citro]

@scu

ich weiß, Gdata überwacht die hosts-Datei.
Die Frage war eher allgemein, nicht abhängig ob ein Virenscanner was meldet - trotzdem Danke

[citro]

Wenn du einen DNS-Changer-Trojaner startet, dann interessiert das was im Router eingetragen ist, nicht.

Wiedermal aufgegriffen:

Zlob-Malware manipuliert Router

http://www.pcwelt.de/start/sicherheit/vire...uter/index.html