Diskussionsforum

Benutzer mikiscom schrieb:

> Wenn der alles blockiert, könnte der aber auch vorhandene
> Scripte auf der Seite blockieren, von denen du gar nix merkst,
> weil die blockiert werden. Oder hast du den Quelltext
> durchstöbert?

Natürlich habe ich den Quelltext durchstöbert. Die Seite samt aktiver Inhalte wird ja auch komplett heruntergeladen, NoScript blockiert nur die Ausführung.

> Und irgendwas aktives muss doch drauf sein, sonst könnten die
> doch nicht prüfen, ob dein Rechner infiziert ist oder nicht.

Nein, der Test kommt ohne aktive Inhalte auf der Seite aus. Er funktioniert folgendermaßen: der Nameserver, auf den der Trojaner DNS-Anfragen umleitet, wurde vom FBI übernommen. Danach wurden 2 Seiten ins Netz gestellt: "Ihr Rechner ist ok" und "Ihr Rechner ist infiziert". Beide Seiten sind unter dem gleichen URL http://www.dns-ok.de erreichbar. Wenn der eigene Rechner sauber ist, verwendet er den Nameserver des eigenen Providers. Dieser liefert für "http://www.dns-ok.de" die IP der Seite mit dem Hinweis "Ihr Rechner ist ok", worauf der Browser diese Seite anzeigt.

Ist der eigene Rechner dagegen infiziert, leitet der Trojaner DNS-Anfragen auf den vom FBI kontrollierten Server um. Der wiederum ist so konfiguriert, dass er für "http://www.dns-ok.de" die IP der Seite mit "Ihr Rechner ist infiziert" liefert, worauf der Browser diese Seite anzeigt. Da dieser Nameserver aber nur vom Trojaner und von niemandem sonst benutzt wird, ist die Anzeige der Warnseite ein sicheres Indiz für eine Infektion des Rechners.

Gruß

niknuk

	[ Antwort ohne / mit Zitat ] · [ E-Mail an Autor ohne / mit Zitat ]
	[ Entfernen ] · [ Melden ]