Come rilevare e correggere una macchina infetta da DNSChanger

Il 9 luglio, l’FBI chiuderà una rete di server DNS che molte persone sono state a seconda per un corretto accesso a Internet. Questi server erano originariamente una parte di una truffa in cui un giro di criminalità di cittadini estoni sviluppato e distribuito un pacchetto di malware chiamato DNSChanger, ma che l’FBI sequestrato e convertito in un servizio DNS legittimo.

Questa truffa malware è stato abbastanza diffuso che anche le aziende di terze parti come Google e Facebook e un certo numero di ISP come Comcast, COX, Verizon, e AT& T hanno aderito nello sforzo di contribuire a rimuoverlo emettendo notifiche automatiche agli utenti che i loro sistemi sono configurati con la rete DNS canaglia.

L'avviso che apparirà nella parte superiore dei risultati di ricerca.
Se vedi questo o simili avvisi quando usi Google o altri servizi, assicurati di controllare il tuo sistema alla ricerca di malware. CNET

Se di recente hai ricevuto un avviso durante l’esecuzione di una ricerca su Google, la navigazione su Facebook, o altrimenti utilizzando il Web che sostiene il sistema potrebbe essere compromessa, allora si potrebbe prendere in considerazione alcuni passaggi per controllare il sistema per la presenza del malware. Questo può essere fatto in un paio di modi. Per prima cosa puoi controllare le impostazioni DNS nel tuo sistema per vedere se i server che il tuo computer sta utilizzando fanno parte della rete DNS canaglia.

Sui sistemi Mac aprire le preferenze di sistema di rete e per ogni servizio di rete (Wi-Fi, Ethernet, Bluetooth, ecc.), selezionare il servizio e quindi fare clic sul pulsante “Avanzate”. Seguire questo selezionando la scheda” DNS ” e prendere nota dei server DNS elencati. Puoi anche farlo nel Terminale eseguendo prima il seguente comando:

Posizione impostazioni DNS in OS X
Controllare questa posizione per tutte le connessioni di rete per vedere la configurazione DNS in OS X (fare clic per ingrandirla). Screenshot da Topher Kessler/CNET

networksetup -listallnetworkservices

Dopo aver eseguito questo comando, accanto eseguire il seguente comando su ogni elenco di nomi (assicurarsi di rimuovere eventuali asterischi davanti i nomi, e verificare che i nomi sono tra virgolette, se ci sono degli spazi):

networksetup -getdnsservers “NOME del SERVIZIO”

Ripetere questo comando per tutti i servizi elencati (in Particolare Ethernet e Wi-Fi) per una lista di tutti i server DNS configurati.

Su una macchina Windows (inclusi quelli che potresti aver installato in una macchina virtuale), puoi aprire lo strumento della riga di comando (seleziona “Esegui” dal menu Start e inserisci “cmd”, o in Windows 7 seleziona “Tutti i programmi” e quindi scegli la riga di comando dalla cartella Accessori). Nella riga di comando, eseguire il seguente comando per elencare tutte le informazioni sull’interfaccia di rete, inclusi gli indirizzi IP del server DNS configurato:

Riga di comando di Windows che mostra i server DNS
Le impostazioni del server DNS di Windows per tutte le interfacce possono essere visualizzate nella sua riga di comando (fare clic per ingrandirla). Screenshot di Topher Kessler / CNET

ipconfig /all

Una volta elencati i server DNS del sistema, inseriscili nella pagina Web DNS checker dell’FBI per vedere se sono identificati come parte della rete DNS canaglia. Oltre a cercare manualmente e controllare le impostazioni DNS, un certo numero di servizi Web sono spuntato che metterà alla prova il sistema per il malware DNSChanger. Il gruppo di lavoro DNSChanger ha compilato un elenco di molti di questi servizi, che è possibile utilizzare per testare il sistema (per quelli negli Stati Uniti, si può andare a dns-ok.us per testare la tua connessione).

Se questi test risultano puliti, non hai nulla di cui preoccuparti; tuttavia, se ti danno avvisi, puoi utilizzare uno scanner anti-malware per verificare e rimuovere il malware DNSChanger. Dato che il malware è stato bruscamente interrotto nel novembre 2011, c’è stato molto tempo per le aziende di sicurezza per aggiornare le loro definizioni anti-malware per includere tutte le varianti di DNSChanger. Se si dispone di uno scanner di malware e non è stato utilizzato di recente, quindi essere sicuri di lanciare e aggiornare completamente, seguita da eseguire una scansione completa del sistema. Fate questo per ogni PC e Mac sulla rete, e in aggiunta essere sicuri di controllare le impostazioni del router per vedere se le impostazioni DNS ci sono quelli corretti dal vostro ISP o sono impostazioni DNS canaglia.

Se il router o il computer non mostrare alcun valido indirizzi server DNS dopo aver rimosso il malware, e il sistema è in grado di connettersi a Internet, allora si potrebbe provare a configurare il sistema per l’uso di un DNS pubblico servizio, come quelli di OpenDNS e Google, inserendo i seguenti indirizzi IP nel sistema, impostazioni di rete:

8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220

Se dopo Lunedi si scopre che non è più possibile accedere a Internet, allora è probabile che il sistema o il router di rete è ancora configurato con i server DNS canaglia e sarà necessario tentare nuovamente di rilevare e rimuovere il malware dai sistemi. Per fortuna il malware non è virale in natura in modo da non auto-propagarsi e automaticamente re-infettare i sistemi. Pertanto, una volta rimosso e una volta che gli utenti hanno impostato server DNS validi sui loro sistemi, i computer interessati dovrebbero avere accesso corretto a Internet.

Background
DNS è il “Domain Name System”, che si comporta come la rubrica di Internet e traduce URL di facile utilizzo come “www.cnet.com” nei loro rispettivi indirizzi IP che computer e router utilizzano per stabilire connessioni. Poiché il DNS è l’interfaccia tra l’URL digitato e il server mirato, l’anello criminale ha creato una propria rete DNS che in gran parte funzionerebbe normalmente, ma consentirebbe anche all’anello di reindirizzare arbitrariamente il traffico per URL specifici a siti Web falsi allo scopo di rubare informazioni personali o convincere la gente a fare clic sugli annunci.

La configurazione della rete DNS canaglia non è sufficiente, poiché questa rete deve essere specificata nelle impostazioni di un computer per essere utilizzata. Per rendere questo accada, l’anello crimine creato il malware DNSChanger (noto anche come RSplug, Puper, e Jahlav), che è stato distribuito come un cavallo di Troia e infettato con successo milioni di sistemi PC in tutto il mondo. Una volta installato, questo malware cambierebbe continuamente le impostazioni DNS per il computer interessato e anche per i router di rete, per puntare alla rete DNS canaglia del crime ring. Di conseguenza, anche se le persone modificassero manualmente le impostazioni DNS dei loro computer, queste modifiche verrebbero automaticamente ripristinate dal malware sui loro sistemi.

 DNSChanger infection rate chart
Dalla sua rimozione, il numero di sistemi infetti è diminuito, anche se migliaia in tutto il mondo sono ancora infetti. DCWG

Poiché milioni di utenti di PC erano stati infettati da questo malware, una volta che l’anello criminale è stato abbattuto in una puntura multilaterale di novembre 2011 chiamata Operation Ghost Click, l’FBI e altre autorità governative hanno deciso di non spegnere la rete DNS canaglia in quanto ciò avrebbe immediatamente impedito ai sistemi infetti di risolvere gli URL, e Invece, la rete DNS è stata mantenuta attiva e convertita in un servizio legittimo mentre gli sforzi sono stati messi in atto per informare gli utenti del malware DNSChanger e attendere che il numero di infezioni in tutto il mondo a cadere.

Inizialmente la rete DNS canaglia era prevista per la chiusura nel marzo di quest’anno; tuttavia, mentre il tasso di infezioni è diminuito in modo significativo una volta che l’anello criminale è stato rotto, il numero di computer infetti è rimasto relativamente alto, quindi l’FBI ha esteso la scadenza al 9 luglio (questo prossimo lunedì). Purtroppo, anche se questa scadenza si avvicina, migliaia di sistemi PC in tutto il mondo sono ancora infettati con il malware DNSChanger, e quando i server vengono spenti questi sistemi non saranno più in grado di risolvere gli URL agli indirizzi IP.

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.