Seit mehr als vier Jahren verbreitet sich ein DNSChanger, der es auf MacOSX-Systeme abgesehen hat. Er taucht immer wieder unter verschiedenen Namen wie OSX.RSPlug (Intego, Symantec, Sophos), OSX/Puper (McAfee) und OSX/DNSChanger (F-Secure) auf.

Das Trojanische Pferd nutzt dabei Methoden des Social Engineerings, um auf den Rechner des Opfers zu gelangen. Beim Versuch ein Video abzuspielen erhält der arglose Benutzer eine Fehlermeldung, die ihn auffordert einen Codec nachzuinstallieren.

Aufforderung den vermeintlichen Codec zu installieren

Auf dem Rechner ändert der DNSChanger verschiedene Netzwerkeinstellungen (häufig DNS-Einstellungen – daher auch die Namensgebung) so, dass der Browser auf gefälschte Webseiten umgeleitet wird, ohne dass der Nutzer Verdacht schöpft. Diese Art der Manipulation eignet sich hervorragen um Phishing-Angriffe durchzuführen, und sich so Zugang zu Logindaten bei ebay oder anderen Plattformen (z.B. Online-Banking) zu verschaffen.

 Was mache ich, wenn ich mit dem DNSChanger infiziert bin?

Überprüfen und Korrigieren der  Netzwerk-Einstellungen

  • Klicken Sie hierzu zunächst auf den Apfel links oben in der Menüleiste und dann in dem sich öffnenden Menü auf “Systemeinstellungen…”.
  • Klicken Sie in dem nun neu geöffneten Fenster auf “Netzwerk”.
  • Links sehen Sie die verfügbaren Netzwerkverbindungen. Wählen Sie per Mausklick die Netzwerkverbindung, über die sich Ihr Rechner mit dem Internet verbindet – in unserem Beispiel “Airport” (für WLAN-Verbindungen) und dort auf “Weitere Optionen”.

Netzwerkeinstellungen

  • Wechseln Sie zum Reiter “TCP/IP”
  • Wenn Sie Ihre IP-Adresse automatisch von Ihrem Router beziehen, sollte hier DHCP aktiviert sein.
  • Zusätzlich sollte die IP-Adresse Ihres Routers angezeigt werden.

TCP/IP-Einstellungen

  • Wechseln Sie auf den Reiter “DNS”.
  • Hier sollten ausschließlich die IP-Adressen vertrauenswürdiger DNS-Server stehen – im Regelfall die Ihres Providers. Ob diese korrekt sind können sie bei Ihrem Internetanbieter nachfragen oder auf dessen Webseite überprüfen. Versiertere Nutzer können auch diese Abfrage benutzen.

DNS-Einstellungen

Um den Schädling endgültig loszuwerden, scannen Sie Ihr System mit einem Anti-Viren-Programm oder einem speziellen DNSChanger Removal Tool.

Benötigen Sie weitere Hilfe? Kommen Sie in das Forum der Anti-Botnet Experten und teilen Sie Ihre Erfahrungen mit anderen Nutzern.