Zitat:

( Antiviren Software absolut machtlos)

War sie schon immer, gegen alles.

Zitat:

Aus den ersten Zeilen konnte ich entnehmen, dass es sich um den DNSChanger handelt und ist eine neue Variante der Zlob-Familie.

Na ist doch der, der den Router umkonfiguriert (vom Rechner aus) und dann in die Ukraine umleitet.

Das Szenario ist gruselig: Ein Spion greift auf ihr Heimnetzwerk zu, ohne dass sie davon etwas merken. Jedes Datenpaket, das sie ins Internet verschicken,
kann der Angreifer mithören. So ist es ein Leichtes, eine Online-Transaktion mit einer Bank zu fälschen oder alle E-Mails mitzulesen. Noch schlimmer: Auf
ihrem PC gibt es nicht die geringste Spur des Angreifers. EIn Virenscanner findet nichts, auch die Untersuchung von einer Boot-CD aus bringt kein Ergebnis.

Router im Visier
Ein solches Szenario ist im Juni 2008 Realität geworden: Der Trojaner DNSChanger, eine neue Variante der Zlob-Familie, nimmt Webserver und ein Web-Interface, das man über einen
normalen Webbrowser aufruft. Asu dem Internet, also von außen, sind diese Konfigurationsseiten nicht erreichbar (nur manche Routermodelle erlauben das nach explizieter Freischaltung über
eine verschlüsselte HTTPS-Verbindung). Bei vielen Routern ist die Konfiguration standardmäßig ohne Passwort oder mit einem Standardpasswort des Herstellers erreichbar.
Viele Anwender belassen es dabei, schließlich galt bisher die Logik: Um Zugriff zu haben, muss ein Angreifer Zugang zum Haus-Lan haben. Abgesehen von einem geknackten WLAN erfordert das einen
klassischen Einbruch.

Der Rest folgt noch, da ich zu müde bin den Rest abzuschreiben.

Musst du auch nicht abschreiben.

Klingt interessant, aber ich glaube, dass der Verfasser des Textes ein paar Wörtchen umgedreht hat.

Klar ist besser, sonst verdrehe ich noch alles

aber was hat der Verfasser umgedreht?

Ich versteh nicht, warum der Angreifer (welcher auch immer gemeint ist) eine LAN-Verbindung haben muss, wozu auch immer.

Vielleicht beantwortet sich deine Frage hiermit:

Trojaner installieren
Der Zlob-Trojaner hebelt diesen trügerischen Schutzmechanismus aus. Getarnt als Video-Codec auf präparierten Websites zeigt DNS-Changer einen Download-Dialog
und trickst so viele Anwender damit aus. So auf dem PC installiert sucht der Trojaner gezielt nach einem Router und versucht, die Konfigurationsseite aufzurufen.
Dabei versucht es DNSChanger zunächst ohne PAsswort und greift dann auf eine Liste mit Standardpasswörtern wie ,,12345,, oder ,,passwort,, zurück.
Klappt das, stehen dem Trojaner sämtliche Parameter des Routers offen. DNSChanger konzentriert sich auf einem Eintrag, nämlich die Adresse des DNS-Servers.
Standardmäßig holt sich ein Ruoter die IP-Adresse automatisch vom DSL-Provider, es ist aber auch vorgesehen, eine feste Adresse einzutragen. Danach
verbleibt DNSChanger wie die meisten Trojaner auf dem infizierten PC. Genauso gut könnte ein künftiger Trojaner sich nach löschen und damit die Spuren auf dem PC verwischen.

Es fehlt immer noch ein groser Teil des Artikels

Klingt schon besser.

Fortsetzung folgt:

DNS umbiegen
Das Domain Name System oder kurz DNS sorgt im Internet für Konvertierungen von Domainnamen wie www.pc-magazin.de in IP-Adresse wie 216.77.123.9. Nur über diese IP-Adresse ist ein Ziel-Computer erreichbar. Der Eintrag des DNS-Servers verweist nach dem Trojanerangriff auf einen Computer der Hacker.
Im Klartext: Tippen sie im Browser eine Adresse wie www.online-banking.de ein, schickt ihr Router die Anfrage an den Hacker-PC. Der kann nun eine beliebige IP-Adresse zurückmelden, die etwa auf einen weiteren Hacker-PC verweist. Der holt sich die Originalseite der Bank, manipuliert den Inhalt und leitet ihn an sie weiter. Oder in beliebige Webseiten wird ein Exploit für die jeweils neuste Sicherheitslücke eingebaut, die dann etwa einen tagesaktuellen Keylogger installiert. Der Fantasie sind hier kaum Grenzen gesetzt, zumal alle Programme mit Internetzugriff davon betroffen sind.
Von der ,,umgebogenen,, Adresse des DNS-Servers merkt man als Anweder zunächst nichts. Schließlich haben die kriminellen Hacker kein Interesse daran, aufzufallen. Die meisten Webseitenzugriffe klappen problemlos, nur ab und an passiert dann etwas Merkwürdiges.


Flash ausnutzen
Ein weitere Masche, die Konfiguration von DSL-Routern zu manipulieren, ist seit Anfang des Jahres bekannt: Ein Flash-Objekt auf einer scheinbar hamlosen Webseite greift mit ganz normalen ActionScript-Befehlen wie navigatetourl auf die UPNP Schnittstelle zu. ,,Universale Plug and Play,, ist dazu gedacht, unerfahrerenen Anwendern die mühselige Konfiguration eines Routers und andere Heimnetzwerkkomponenten wie Media-Server etc. abzunehmen.
Eine Authentifizierung ist bei UPNP nicht vorgesehen. Über die Schnittstelle lassen sich praktische sämtliche Konfigurationseinstellungen wie Port Forwarding oder die DNS-Adresse des Routers anpassen. Da Flash plattformunabhängig ist, sind auch Mac- und Linuxmaschinen davon betroffen. Ausführlich berichtet darüber berichtet darüber das Blog GNUcitizen (www.grnucitizien.org/blog/flash-upnp-attack-faq/)

Trübe Aussichten
Die Juni-Version des Trojaners DNSChanger kommt nur mit einer kleinen Auswahl an DSL-ROutern zurecht. DIe in Deutschland weit verbreitete Fritz!Box ist noch nicht betroffen
- Das kann sich aber jederzeit ändern. Ist die Masche für Kirminellen erfolgreich, kann man sich bald auf eine ganze Welle an Router-Angriffen einstellen. Das zeigt zum Beispiel der Angriff über UPNP.
Dazu kann man sich wahre Horrorszenarien ausmalen: Der Trojaner könnte bestimmte Ports auf dem Router öffnen (Port Forewarding), die etwa den freien Zugriff auf lokale Netzwrklaufwerke und NAS-Systeme erlauben. Viele Anwender schützen diese nicht mit einem Passwort. Oder auf dem Router wird nicht nur die Konfiguration geändert, sondern die Firmware manipuliert. Dann könnte der Router zum Beispiel als Teil eines Botnets Spam versenden oder sonstige Aufgaben ausführen - schließlich hängt er rund um die Uhr am Internet.
Im Moment wird der Angriff auf den Router über einen Trojaner oder ein Flash-Objekt auf dem lokalen PC geführt. Router sind aber auch nur Computer mit Betriebssystem, es könnte durchaus Sicherheitslücken geben, die eine direkte Infektion eines Routers mit einem Trojaner erlauben. Bis zum nächsten Router-Neustart bleibt der Spion dann auch ohne Firmware-Änderung aktiv.

Bald kommen die Tips wie man sich schützen kann...

Die nächste Fortsetzung brauchst du nicht posten.

btw. Hardware-Malware hat keine Zukunft.

okay

meinst du weil es viel zu viele verschiedene Router gibt?

Nein, weil wenn Malware die Hardware (also CMOS Chips, EPROM/EEPROM's oder diverse andere Flashspeicher) befallen könnte, wäre das vom Hersteller derart leicht z.B. per Jumper zu unterbinden, sodass es sich überhaupt nicht rentieren würde.

*ROFL*
Viele MoBos die seinerzeit vom CIH/Tschernobyl befallen wurden, hatten so einen Jumper. Und rate mal wo der ab "Vobis" war?

Natürlich könnte man einstellen, dass normaler Betrieb nur mit dem Jumper auf "Schutz gesetzt" möglich ist, aber eher spendiert mir das Spaghetti-Monster eine Pizza, als dass sich da alle dran halten würden.

Zitat:

Zitat von Silent sharK

Nein, weil wenn Malware die Hardware (also CMOS Chips, EPROM/EEPROM's oder diverse andere Flashspeicher) befallen könnte, wäre das vom Hersteller derart leicht z.B. per Jumper zu unterbinden, sodass es sich überhaupt nicht rentieren würde.

Rentierend für die Industrie wäre aber folgendes "Szenario":

Man richte eine Backdoor ein -> installiere im Hintergrund ein Programm welches direkten Zugriff auf den context der CPU hat (ähnlich wie diverse Übertaktungstools) -> man steigert nun die VCore um 10% und wartet einfach ab ...

Sollte das System beim ersten mal nur abstürzen, wiederhole man den Vorgang mehrmals..

Bei CIH war es IMHO nur ein spezielles Mainboard/BIOS, das überschrieben werden konnte. War das der Fall, zeigte der Rechner beim Booten nur kryptische Zeichen an.

Aber wie gesagt, CIH war auf Zerstörung aus, heutzutage wollen Cyberkriminelle Geld machen oder ihr Botnetz erweitern.

Edit:

Zitat:

Man richte eine Backdoor ein -> installiere im Hintergrund ein Programm welches direkten Zugriff auf den context der CPU hat (ähnlich wie diverse Übertaktungstools) -> man steigert nun die VCore um 10% und wartet einfach ab ...

Sollte das System beim ersten mal nur abstürzen, wiederhole man den Vorgang mehrmals..

Da könnte man nun aussuchen:
- Ein paar Millionen mit Rogue Software/Gpcode/Botnetzen verdienen
- Rechner/CPU's schrotten

:aplaus:
Aber möglich wäre das, denk ich, schon.

Zitat:

Zitat von Silent sharK

Bei CIH war es IMHO nur ein spezielles Mainboard/BIOS, das überschrieben werden konnte.

Na und? Erstens war es nicht nur ein einziges (Modell) sondern um einen Chipsatz und zweitens es geht ja jetzt nicht um die Gefährlichkeit von der Malware, sondern um den (nicht gesetzten) Jumper.

Zitat:

Zitat von Silent sharK

War das der Fall, zeigte der Rechner beim Booten nur kryptische Zeichen an.

Nein nicht unbedingt

Zitat:

Zitat von Silent sharK

Aber wie gesagt, CIH war auf Zerstörung aus, heutzutage wollen Cyberkriminelle Geld machen oder ihr Botnetz erweitern.

Na und? Es geht wie oben gesagt, ja um den Jumper. Wenn man auf dich eingeht, solltest du schon auch wiederum darauf eingehen, sonst geht jede Diskussion ein.