Miljoenen botnetslachtoffers raken internet kwijt

Slachtoffers van het DNS-changer botnet kunnen hun verbinding na 8 maart kwijtraken, tenzij ze hun instellingen handmatig aanpassen. Een alternatieve DNS-server wordt dan afgesloten.

Het DNS-changer botnet werd in november neergehaald. Omdat zo'n vier miljoen computers afhankelijk zijn van de servers die het botnet aanstuurden, werden alternatieve DNS-servers opgezet in samenwerking met non-profitpartij Internet Systems Consortium. De Duitse Bundesamt fŘr Sicherheit in der Informationstechnik (BSI) waarschuwt nu dat die servers begin maart offline gaan.

De beheerders van het botnet wijzigden de DNS-instellingen van de gebruikers om verkeer van 15 duizend populaire websites door te verwijzen naar hun eigen servers. Door hun eigen advertenties op die sites te plaatsen wisten ze zo'n tien miljoen euro binnen te halen. Onder de websites waarvan het verkeerd werd omgeleid waren diensten als iTunes en Netflix.

Miljoenen gebruikers offline
Computers die zijn ge´nfecteerd door het botnet, zijn voor hun verbinding afhankelijk van de alternatieve servers. Als er niet op tijd gereageerd wordt raken gebruikers hun verbinding kwijt, waarschuwt de BSI nu. De BSI heeft ook de website dns-ok.de beschikbaar gemaakt, daarop kunnen gebruikers testen of ze gebruik maken van de foute DNS-instellingen.

In een persbericht van de FBI na het offline halen van het botnet werd al aangekondigd dat het opzetten van de alternatieve DNS-dienst voor een korte periode is. "De malafide DNS-servers van de verdachten worden vervangen door legitieme servers van het Internet Systems Consortium. Zij zijn door de rechtbank aangewezen als partij die het verkeer ontvangt gedurende 120 dagen", schrijft de FBI in het persbericht uit november.

Deze mededeling werd direct gevolgd door een waarschuwing dat de alternatieve servers alleen bedoeld zijn om gebruikers online te houden. De rootkit wordt er niet mee van de computer gehaald en de DNS-instellingen blijven verwijzen naar die van de botnetbeheerders.

Nederlandse politie hielp FBI
EÚn van de servers van de DNS-bende bevond zich in Nederland. De KLPD hielp in november mee met het onderzoek van de Amerikanen. De politiedienst haalde de Nederlandse server offline en stuurde een image van de machine naar de VS. Het Openbaar Ministerie laat nu aan Webwereld weten niet langer bij het onderzoek betrokken te zijn.

"Wij hebben destijds geholpen met het onderzoek, maar dat was het ook", laat woordvoerder Wim de Bruin van het OM weten. De woordvoerder kan dan ook niet vertellen hoeveel Nederlandse pc's ge´nfecteerd zijn door de malware. Vragen hierover bij Internet Systems Consortium staan nog open.