Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer Infektion der DNSChanger-Malware gewarnt und als Prüfmaßnahme die Website DNS-OK.de ins Netz gestellt. Eins vorweg: Die Seite ist sauber. Aber wer dem BSI trotzdem mißtraut, der kann den dort durchgeführten Check auch manuell machen.

Dazu eine kurze Einleitung. Die Betreiber dieser Schadsoftware wurden im November vom FBI hochgenommen. Seitdem ist der DNS-Server dieser Schadsoftware in den Händen des FBI. Genau das nutzt das BSI jetzt aus.

Und damit kommen wir zur Durchführung. Die Website DNS-OK.de wird bei normalen DNS Einstellungen auf die IP 85.214.11.195 aufgelöst. Dort sieht man dann diese Website mitsamt einer eindeutigen grünen Bestätigung.

Ein infizierter Rechner wird aber bei der Eingabe von DNS-OK.de auf die IP 85.214.11.194 weitergeleitet. Die sieht dann eben etwas alarmierender aus.

Das Prinzip funktioniert aber eben nur bei diesem speziellen DNSChanger, da das FBI einfach diese andere IP auf dem übernommenen Server eingestellt hat.

Wollt ihr also manuell überprüfen, ob ihr infiziert seid, gebt in euer Terminal (Unix) den Befehl

ping -c 1 dns-ok.de

oder in eure Kommandozeile/Cmd (Windows)

ping dns-ok.de

ein und achtet darauf, auf welche der beiden oben genannten IPs die Domain aufgelöst wird. Bei mir war übrigens alles sauber. ;-)