jak detekovat a opravit stroj infikovaný DNSChanger
9. července FBI uzavře síť serverů DNS, na které mnoho lidí závisí na správném přístupu k internetu. Tyto servery byly původně součástí podvodu, kde zločinecký kruh estonských státních příslušníků vyvinul a distribuoval malware balíček s názvem DNSChanger, ale který FBI zabavila a převedla na legitimní službu DNS.
tento podvod s malwarem byl natolik rozšířený, že i společnosti třetích stran, jako jsou Google a Facebook, a řada poskytovatelů internetových služeb, jako jsou Comcast, COX, Verizon a AT& T, se připojily ke snaze pomoci jej odstranit vydáním automatických oznámení uživatelům, že jejich systémy jsou nakonfigurovány s nepoctivou sítí DNS.
pokud jste nedávno obdrželi varování při provádění vyhledávání Google, procházení Facebook, nebo jinak pomocí webu, který tvrdí, že váš systém může být ohrožena, pak byste měli zvážit několik kroků ke kontrole vašeho systému na přítomnost malwaru. To lze provést několika způsoby. Nejprve můžete zkontrolovat nastavení DNS ve vašem systému a zjistit, zda servery, které váš počítač používá, jsou součástí nepoctivé sítě DNS.
v systémech Mac otevřete Předvolby síťového systému a pro každou síťovou službu (Wi-Fi, Ethernet, Bluetooth atd.), vyberte službu a poté klikněte na tlačítko“ Upřesnit“. Postupujte tak, že vyberete kartu “ DNS “ a zaznamenáte uvedené servery DNS. Můžete to také provést v terminálu nejprve spuštěním následujícího příkazu:
networksetup-listallnetworkservices
po spuštění tohoto příkazu spusťte následující příkaz na každém z uvedených jmen (nezapomeňte odstranit všechny hvězdičky před jmény a ujistěte se, že jména jsou v uvozovkách, pokud jsou v nich nějaké mezery):
networksetup-getdnsservers „název služby“
opakujte tento příkaz pro všechny uvedené služby (zejména připojení Ethernet a wi-fi) vypíše seznam všech nakonfigurovaných serverů DNS.
na počítači se systémem Windows (včetně těch, které jste nainstalovali do virtuálního počítače) můžete otevřít nástroj příkazového řádku (v nabídce Start vyberte „Spustit“ a zadejte “ cmd „nebo v systému Windows 7 Vyberte“ všechny programy “ a poté vyberte příkazový řádek ze složky příslušenství). V příkazovém řádku spusťte následující příkaz a zobrazte všechny informace o síťovém rozhraní, včetně nakonfigurovaných IP adres serveru DNS:
ipconfig / all
jakmile máte servery DNS vašeho systému uvedeny, zadejte je do webové stránky FBI DNS checker, abyste zjistili, zda jsou identifikovány jako součást nepoctivé sítě DNS. Kromě ručního vyhledávání a kontroly nastavení DNS se objevilo několik webových služeb, které otestují váš systém na malware DNSChanger. Pracovní skupina DNSChanger sestavila seznam mnoha z těchto služeb, které můžete použít k testování vašeho systému (pro ty v USA můžete jít na dns-ok.us otestovat připojení).
pokud jsou tyto testy čisté, nemusíte se čeho bát; pokud vám však dají varování, můžete pomocí skeneru proti malwaru zkontrolovat a odstranit malware DNSChanger. Vzhledem k tomu, že malware byl náhle zastaven v listopadu 2011, je dostatek času na to, aby bezpečnostní společnosti aktualizovaly své definice proti malwaru tak, aby zahrnovaly všechny varianty Dnschangeru. Pokud máte malware scanner a nedávno jste jej nepoužívali, nezapomeňte jej plně spustit a aktualizovat a poté provést úplnou kontrolu systému. Udělejte to pro každý počítač a Mac ve vaší síti a navíc zkontrolujte nastavení routeru, abyste zjistili, zda jsou nastavení DNS správná od vašeho ISP nebo zda jsou nastavení DNS nepoctiví.
pokud váš router nebo počítač po odstranění malwaru nezobrazuje žádné platné adresy serveru DNS a váš systém se nemůže připojit k internetovým službám, můžete zkusit nakonfigurovat systém tak, aby používal veřejnou službu DNS, jako jsou služby OpenDNS a Google, zadáním následujících IP adres do Nastavení sítě vašeho systému:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
pokud po pondělí zjistíte, že již nemáte přístup k Internetu,je pravděpodobné, že váš systém nebo síťový směrovač je stále nakonfigurován s nepoctivými servery DNS a budete se muset znovu pokusit detekovat a odstranit malware z vašich systémů. Naštěstí malware není virové povahy, takže se nebude samovolně šířit a automaticky znovu infikovat systémy. Po odebrání a jakmile uživatelé ve svých systémech nastaví platné servery DNS, měly by mít postižené počítače správný přístup k internetu.
pozadí
DNS je „systém doménových jmen“, který funguje jako telefonní seznam internetu a překládá adresy URL vhodné pro člověka, například „www.cnet.com“ do svých příslušných IP adres, které počítače a směrovače používají k navázání připojení. Vzhledem k tomu, že DNS je rozhraní mezi zadanou adresou URL a cíleným serverem, kriminální kruh vytvořil vlastní síť DNS, která by z velké části fungovala normálně, ale také by umožnila kruhu libovolně přesměrovat provoz pro konkrétní adresy URL na falešné webové stránky za účelem krádeže osobních údajů nebo přimět lidi, aby klikali na reklamy.
nastavení samotné sítě DNS rogue nestačí, protože tato síť musí být zadána v nastavení počítače, aby mohla být použita. Aby se to stalo, kriminální kruh vytvořil Malware DNSChanger (označovaný také jako RSplug, Puper a Jahlav), který byl distribuován jako trojský kůň a úspěšně infikoval miliony počítačových systémů po celém světě. Po instalaci by tento malware neustále měnil nastavení DNS pro postižený počítač a dokonce i pro síťové směrovače, aby poukázal na nepoctivou síť DNS kriminálního kruhu. Výsledkem je, že i když lidé ručně změnili nastavení DNS svých počítačů, tyto změny by se automaticky vrátily škodlivým softwarem v jejich systémech.
vzhledem k tomu, že miliony uživatelů PC byly infikovány tímto malwarem, jakmile byl zločinecký kruh odstraněn v listopadu 2011 multilaterální bodnutí s názvem Operace Ghost Click, FBI a další vládní orgány se rozhodly proti vypnutí nepoctivé sítě DNS, protože by to okamžitě zabránilo infikovaným systémům v řešení adres URL, a tím by pro ně účinně vypnulo Internet. Místo toho byla síť DNS udržována aktivní a převedena na legitimní službu, zatímco bylo vyvinuto úsilí informovat uživatele o malwaru DNSChanger a čekat na pokles počtu celosvětových infekcí.
zpočátku byla síť rogue DNS plánována na uzavření V březnu tohoto roku; nicméně, zatímco míra infekcí významně klesla, jakmile byl zločinecký kruh rozdělen, počet infikovaných počítačů zůstal relativně vysoký, takže FBI prodloužila termín do 9. července (toto nadcházející pondělí). Bohužel, i když se tento termín blíží, tisíce počítačových systémů po celém světě jsou stále infikovány malwarem DNSChanger a když jsou servery vypnuty, tyto systémy již nebudou schopny vyřešit adresy URL na adresy IP.