Ein ukrainischer Webhoster, der lange Zeit als Basis für einen sehr aktiven Typ von Malware diente, wurde nach Beschwerden von Security Fix an den verantwortlichen ISP, vom Netz genommen.

Seit mindestens 2005 hatte UkrTeleGroup Ltd. hunderte von Webservern gehostet, welche die Kontrolle über ein breites Netzwerk von mit Malware infizierten Computern hatten. Im vorliegenden Fall ging es um Varianten des Trojaners DNSChanger aka Zlob, wie die Sicherheitsfirma McAfee erklärte. Dieser Trojaner ändert auf dem betroffenen System die Hosts Einträge und leitet damit die Computernutzer auf gefälschte Webseiten um Kreditkarten- oder Kontodaten abzugreifen.

DNSChanger/Zlob blockiert außerdem den Zugriff auf sicherheitsrelevante Webseiten wie Antivirus Hersteller oder auch den Microsoft Update Dienst, so dass die Nutzer der infizierten Rechner keine Sicherheitsupdates einspielen oder sich Informationen zum Entfernen des Trojaners besorgen können.

Der Trojaner DNSChanger/Zlob war laut dem Computer Sicherheitsunternehmen Sunbelt Software das 10. häufigste Malware Programm im Dezember 2008.

Nach einem McAfee Bericht von Dezember 2008 wurden mehr als 400 DNS Server im Netzbereich von UkrTeleGroup gefunden. Das bedeutet das mehr als 10% des kompletten IP Bereiches für DNS Server ausgelegt war.

Schon seit langem war die UkrTeleGroup vielen Sicherheitsexperten ein Dorn im Auge und schon 2006 gab es die Empfehlung den IP Bereich des Hosters komplett zu sperren. Nach der nun überfälligen Netzsperre ist leider kein Aufatmen angesagt. Die Gruppe hinter dem Trojaner hat ihre Basis inzwischen bereits verlegt, diesmal nach Lettland zu Zlkon.lv, so dass die neuen DNS Server wohl irgendwo zwischen 94.247.2.0 und 94.247.3.255 auftauchen werden.