Einige Trojaner können die Netzwerkeinstellungen manipulieren und damit den Netzverkehr auf andere Adressen umleiten. Statt der gewünschten Internetseite erscheint dann eine Seite mit Schadsoftware oder pornografischen Inhalten oder es werden manipulierte Werbeeinblendungen angezeigt. Die Trojaner sind nicht nur in der Lage die Konfiguration des PCs zu ändern. Einige Varianten versuchen auch Zugriff auf den DSL-Router zu erlangen und hier die DNS-Einstellungen (Domain Name System) zu verändern. Dann sind alle Geräte im Netzwerk betroffen, auch wenn sich auf diesen keine Trojaner befinden.
Ein Vertreter dieser Trojaner-Gattung ist
DNS-Changer, der zur Familie Zlob gehört. Das dazugehörige Botnetz (GhostKlick-DNS-Changer-Botnetz) wurde bereits im November 2011 aufgelöst und die Täter wurden gefasst. Der Trojaner befindet sich aber immer noch auf vielen PCs. Und selbst wenn er inzwischen entfernt wurde, bleiben die Netzwerkeinstellungen weiterhin geändert. Das FBI hat für die von den Tätern verwendeten IP-Adressen eigene DNS-Server eingerichtet und kann auf diese Weise kontrollieren, wie viele Computer weiterhin betroffen sind. Nach Angaben des FBI greifen von Deutschland aus täglich immer noch mehr als 30.000 PCs auf die manipulierten DNS-Adressen zu.
Die DNS-Server des FBI sollen allerdings am 8. März 2012 abgeschaltet werden. Wer bis dahin die Änderungen durch DNSChanger und ähnlichen Trojanern nicht rückgängig gemacht hat, kann keine Internetseiten mehr aufrufen. BSI und Bundeskriminalamt haben jetzt gemeinsam mit der Deutschen Telekom die Webseite
www.dns-ok.de eingerichtet. Es genügt die Seite im Browser aufzurufen, um die Netzwerkeinstellungen zu prüfen. Wenn hier eine Infektion gemeldet wird, muss zuerst der PC auf Schadsoftware untersucht werden, beispielsweise mit der kostenlosen Software
DE-Cleaner. Danach müssen betroffene Nutzer die Netzwerkeinstellungen am PC und DSL-Router kontrollieren und auf den Standard zurücksetzen. Eine ausführliche Anleitung finden Sie auf der Seite
DNS-Einstellungen manipuliert? — Browser entführt! (DNSChanger).