Vor einigen Wochen hatte ich Probleme mit meiner Internetverbindung. Sie war extrem langsam und plötzlich konnte ich keine Verbindung zu einigen Websites (insbesondere Gmail, Facebook, YouTube und Twitter) herstellen, während die Verbindung zu den anderen normal funktionierte. Einige Tage später zeigten mir dieselben Websites eine Nachricht auf Portugiesisch:„Neue verfügbare Aktualisierung“immer wenn ich versucht habe, eine Verbindung herzustellen, wurde mit dem Herunterladen einer EXE-Datei begonnen („internet_update.exe“ oder so ähnlich).
Da bin ich ausgeflippt! Es war definitiv ein Virus oder so etwas, aber es war wirklich komisch, weil ich nie ein solches Problem hatte (ich verwende Linux). Also schaltete ich meinen alten PC (mit Windows XP) ein und es stellte sich heraus, dass er das gleiche Problem hatte! Immer wenn ich versuchte, eine dieser bestimmten Websites zu verbinden, wurde die gleiche Meldung angezeigt, während der Rest problemlos geladen wurde. Sogar auf meinem Android-Smartphone wurde die gleiche Meldung angezeigt.
Es war also offensichtlich, dass das Problem nicht bei einer bestimmten Maschine, sondern beim Router selbst lag. Also begann ich zu googeln und fandeinige Informationen, leider habe ich nur einige auf Spanisch gefunden, deshalb mache ich hier eine kurze Zusammenfassung:
Es handelt sich um einen neuen Banking-Trojaner, der speziell dafür entwickelt wurde, brasilianische Banken zu infizieren und Informationen von ihnen zu sammeln. Anscheinend ist er inzwischen auch in Argentinien und Peru verbreitet.
Wie funktioniert es also? Es verbreitet sich über soziale Netzwerke (Videos, Links, ...) und „übernimmt dann die Kontrolle“ über Ihre Internetverbindung, indem es die Werte Ihrer DNSs ändert. Genauer gesagt ändert es diePrimärer DNSzu einer dieser IPs: 108.170.13.38, 66.7.216.122 oder 63.143.43.154 und dieSekundäre DNSbis 8.8.8.8, dieser sekundäre DNS ist eigentlich derÖffentliches DNS von Google, und ist so konfiguriert, dass Ihre Internetverbindung weiterhin ordnungsgemäß funktioniert und der Benutzer nichts bemerkt.
Wichtig dabei ist, dass kein Antivirusprogramm Änderungen bemerkt, da auf Ihrem Computer weder etwas heruntergeladen noch installiert wurde. Nachdem Ihre DNS geändert wurden, kontrolliert der Trojaner jede einzelne Website, mit der Sie sich verbinden, und stiehlt auf diese Weise Ihre Bankdaten.
Nachdem ich davon gelesen hatte, habe ich auf meinen Router zugegriffen und meine primären und sekundären DNS-Werte auf die richtigen Werte zurückgesetzt. Einen Tag später hatte ich jedoch erneut das gleiche Problem.
Dies ist eigentlich ein Beitrag, der zu 50 % aus Warnungen und zu 50 % aus Hilfe-mir-Beiträgen besteht.
Hier kommt also die Frage:Gibt es eine Möglichkeit, die Änderung meiner DNS zu verhindern?
PS:Entschuldigen Sie, wenn die Frage hier nicht hingehört, aber ich bin ziemlich verzweifelt. Können Sie mich auf die richtige Website weiterleiten?
Antwort1
Ich weiß nicht, ob das in diesem Fall zutrifft, aber eine Möglichkeit, wie so etwas passieren kann (selten, aber möglich), ist ein bösartiges Flash-Fragment (das von Ihrem Browser heruntergeladen und verarbeitet wird, ohne dass Sie es wissen), das von Ihrem Computer über UPNP auf den Router umleitet und den Router neu programmiert, wenn der Router die UPNP-Neukonfiguration akzeptiert.
Schon bevor dies zu einer Bedrohung wurde, stellte ich fest, dass UPNP für mich nicht nützlich ist und habe es seitdem (wahrscheinlich seit 5 Jahren oder länger) auf allen von mir gesteuerten Routern deaktiviert und verwende zusätzlich statische DNS-Server (in meinem Fall OpenDNS) auf allen von mir konfigurierten Maschinen.