Handlungsanleitung: Bin ich ein Opfer der Operation Ghost Click?

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA


Quelle: flattop341 Flickr

Das FBI hat in Zusammenarbeit mit Trend Micro und anderen Industriepartnern in dem „größten Einsatz aller Zeiten gegen Cyberkriminelle“ ein Botnet zerschlagen, das in mehr als 100 Ländern mit einer Infrastruktur von über 100 Servern aktiv war und mehr als vier Millionen Opfer involvierte. Sechs Kriminelle sind in einer international koordinierten Aktion der Polizei verhaftet worden.

Das FBI hat inzwischen ein Online-Tool zur Verfügung gestellt, mit dem besorgte IT-Anwender prüfen können, ob die Einstellungen ihres DNS-Servers manipuliert wurden.

Als erstes müssen die Nutzer ihre aktuellen DNS-Server-Einstellungen herausfinden: Auf einem PC öffnet man dazu das Start-Menü mit einem Klick auf den Start-Button oder auf das Windows Icon unten links auf dem Bildschirm. In der Box „… durchsuchen“ lässt man nach „cmd“ suchen. Daraufhin öffnet sich ein schwarzes Fenster mit weißer Schrift. Hier wird „ipconfig/all“ angegeben. Der Eintrag „DNS Server“ enthält die gesuchten numerischen Adressen.

Auf einem Mac klickt der Anwender auf den Apple Icon oben links und wählt „System Preferences“ und dort „Network“ aus. Aus dem sich öffnenden Fenster wählt man dann die aktuell aktive Netzwerkverbindung aus der linken Spalte und rechts den DNS Tab. Hier finden sich die Adressen der DNS-Server, die der Computer nutzt.

Danach kann der Anwender prüfen, ob die notierten Adressen mit Servern übereinstimmen, die die Kriminellen in ihrer Operation Ghost Click genutzt haben. Dafür gibt es das Online-Tool des FBI. Der Nutzer muss lediglich die IP-Adressen eingeben und den Button „check ip“ anklicken.

Diejenigen, die eine Infektion ihres Computers befürchten, können mit Trend Micros kostenlosem Tool HouseCall das System scannen und säubern. Danach sollten sie das FBI über dieses Formular benachrichtigen und auch ihren Internet Service Provider davon in Kenntnis setzen, damit dieser die legitimen DNS-Einstellungen wieder herstellen kann.

Besuchen Sie unser kostenfreies Webinar zu „Operation Ghost Click“
 

2 Gedanken zu „Handlungsanleitung: Bin ich ein Opfer der Operation Ghost Click?

  1. trend admin

    Hallo R.Kuba,
    Holen Sie sich eine zweite Meinung und machen einen unabhängigen Online-Virenscan, z.b. hier http://housecall.trendmicro.com/de/ (Housecall, unser kostenloser Online-Viren-Scanner).
    Um nachzusehen ob Sie ein Opfer von Operation Ghost Click sind, hat das FBI hat ein Online-Tool zur Verfügung gestellt, mit dem Sie prüfen können ob Ihre DNS Einstellungen manipuliert wurden. Die Seite finden Sie hier: https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS

  2. R. Kuba

    Hallo und besten Dank für die interessanten Infos. Habe wenig Ahnung von Computern, aber schon lange treiben Kriminelle auf meinem Rechner ihr unwesen! Woher ich das weis?
    Weil ich manchmal feststellen muß daß das Sicherheitsschloss ofmals verschwindet, sobald ich meine E- Mails lesen oder welche schreiben möchte. Da ich auch Kontakte zu einer langjährigen Brieffreundin hinter dem Ural habe, und ins Tatarstan, bekam ich Mails in Russisch in denen ich auf Facebook verwiesen wurde! Da ich mit Facebook aber nichts am Hut habe, und mich dort nichts interessiert, habeich auch nichts geöffnet, sondern gleich gelöscht. Außer einmal, da öffnete sich aus versehen eine solche Mail. Und heute habe ich meinen Rechner getscheckt mit – NPE – und er hat 2 Eintragungen im win32 System gefunden-DNS in windvd-exe und windvr.exe. Habe alles Fotografiertu. ausgedruckt.
    Ob ich jetzt noch Besuch aus Russland bei Kontrolle meines Postfaches bekomme muß ich erst abwarten. Wäre aber bestimmt möglich. Wer weiß was sich sonst noch alles so auf meinem Rechner tummelt.
    Würde mich über eine Antwort Eurerseits freuen , aber bitte kein Englisch, sondern nur deutsch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*