hvordan til at opdage og løse en maskine inficeret med DNSChanger
den 9. juli lukker FBI et netværk af DNS-servere, som mange mennesker har været afhængige af for korrekt internetadgang. Disse servere var oprindeligt en del af en fidus, hvor en forbrydelsesring af estiske statsborgere udviklede og distribuerede en ondsindet pakke kaldet DNSChanger, men som FBI beslaglagde og konverterede til en legitim DNS-tjeneste.
denne ondsindede fidus har været udbredt nok til, at selv tredjepartsvirksomheder som Google og Facebook og en række internetudbydere som Comcast og på&T har tilsluttet sig bestræbelserne på at hjælpe med at fjerne det ved at udstede automatiske meddelelser til brugerne om, at deres systemer er konfigureret med rogue DNS-netværket.
hvis du for nylig har modtaget en advarsel, når du udfører en Google-søgning, surfer på Facebook eller på anden måde bruger internettet, der hævder, at dit system kan blive kompromitteret, kan du overveje at tage et par skridt for at kontrollere dit system for tilstedeværelsen af ondsindet program. Dette kan gøres på et par måder. Først kan du kontrollere DNS-indstillingerne i dit system for at se, om de servere, din computer bruger, er en del af rogue DNS-netværket.
på Mac-systemer åbner netværkssystemindstillingerne og for hver netværkstjeneste (trådløst internet, Ethernet, Bluetooth osv.), vælg tjenesten, og klik derefter på knappen “Avanceret”. Følg dette ved at vælge fanen “DNS” og notere de angivne DNS-servere. Du kan også gøre dette i terminalen ved først at køre følgende kommando:
netværksopsætning-listallnetværkstjenester
når denne kommando er kørt, skal du derefter køre følgende kommando på hvert af de anførte navne (sørg for at fjerne eventuelle stjerner foran navnene, og sørg for, at navnene er i anførselstegn, hvis der er mellemrum i dem):
netværksopsætning-getdnsservers “servicenavn”
gentag denne kommando for alle listede tjenester (især Ethernet-og trådløse forbindelser) for at liste alle konfigurerede DNS-servere.
på en Vinduer-maskine (inklusive en af dem, du muligvis har installeret i en virtuel maskine), kan du åbne kommandolinjeværktøjet (vælg “Kør” i Start-menuen og gå ind i “cmd” eller i Vinduer 7 Vælg “alle programmer” og vælg derefter kommandolinjen i mappen tilbehør). Kør følgende kommando på kommandolinjen for at liste alle netværksinterfaceoplysninger, inklusive konfigurerede DNS-server-IP-adresser:
ipconfig /all
når du har dit systems DNS-servere opført, skal du indtaste dem på FBI ‘ s DNS-checker-hjemmeside for at se, om de er identificeret som en del af rogue DNS-netværket. Ud over manuelt at kigge op og kontrollere dine DNS-indstillinger, er der dukket en række internettjenester op, der vil teste dit system for DNSChanger-ondsindet program. DNSChanger-arbejdsgruppen har samlet en liste over mange af disse tjenester, som du kan bruge til at teste dit system (for dem i USA kan du gå til dns-ok.us for at teste din forbindelse).
hvis disse tests kommer op ren, så har du intet at bekymre sig om; men hvis de giver dig nogen advarsler, så kan du bruge en anti-ondsindet scanner til at kontrollere og fjerne DNSChanger ondsindet program. I betragtning af at programmet blev brat standset i November 2011, har der været rigelig tid for sikkerhedsfirmaer til at opdatere deres anti-ondsindede definitioner til at omfatte alle varianter af DNSChanger. Hvis du har en ondsindet scanner og ikke har brugt den for nylig, skal du sørge for at starte og opdatere den fuldt ud, efterfulgt af at udføre en fuld scanning af dit system. Gør dette for hver PC og Mac på dit netværk, og sørg desuden for at kontrollere din routers indstillinger for at se, om DNS-indstillingerne der er rigtige fra din internetudbyder eller er useriøse DNS-indstillinger.
hvis din router eller computer ikke viser nogen gyldige DNS-serveradresser, efter at du har fjernet programmet, og dit system ikke kan oprette forbindelse til internettjenester, kan du prøve at konfigurere dit system til at bruge en offentlig DNS-tjeneste, f. eks. dem fra OpenDNS og Google, ved at indtaste følgende IP-adresser i dit systems netværksindstillinger:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
hvis du efter mandag finder ud af, at du ikke længere kan få adgang til internettet, er det sandsynligt, at dit system eller netværksrouter stadig er konfigureret med rogue DNS-serverne, og du bliver nødt til igen at forsøge at opdage og fjerne ondsindet program fra dine systemer. Heldigvis er virus ikke viral i naturen, så det vil ikke selv-formere og automatisk re-inficere systemer. Derfor, når de først er fjernet, og når brugerne har oprettet gyldige DNS-servere på deres systemer, skal de berørte computere have korrekt adgang til internettet.
baggrund
DNS er” Domain Name System”, som fungerer som internettets telefonbog og oversætter menneskelige venlige URL ‘ er som “www.cnet.com” i deres respektive IP-adresser, som computere og routere bruger til at etablere forbindelser. Da DNS er grænsefladen mellem den indtastede URL og den målrettede server, oprettede crime ring sit eget DNS-netværk, der i vid udstrækning ville fungere normalt, men også ville give ringen mulighed for vilkårligt at omdirigere trafikken til specifikke URL ‘ er til falske hjemmesider med det formål at stjæle personlige oplysninger eller få folk til at klikke på annoncer.
opsætning af rogue DNS-netværket i sig selv er ikke nok, da dette netværk skal specificeres i en computers indstillinger for at blive brugt. For at få dette til at ske, skabte kriminalringen DNSChanger-ondsindet program (også kaldet RSplug, pupper og Jahlav), som blev distribueret som en trojansk hest og med succes inficerede millioner af PC-systemer over hele verden. Når det er installeret, vil dette program løbende ændre DNS-indstillingerne for den berørte computer og endda for netværksroutere for at pege på crime rings rogue DNS-netværk. Som et resultat, selvom folk manuelt ændrede deres computers DNS-indstillinger, ville disse ændringer automatisk blive tilbageført af ondsindet program på deres systemer.
da millioner af PC-brugere var blevet inficeret af denne virus, da kriminalitetsringen blev taget ned i en multilateral brod i november 2011 kaldet Operation Ghost Click, besluttede FBI og andre offentlige myndigheder ikke at slukke for rogue DNS-netværket, da dette øjeblikkeligt ville have forhindret de inficerede systemer i at løse URL ‘ er og derved effektivt ville have lukket internettet for dem. I stedet blev DNS-netværket holdt aktivt og konverteret til en legitim tjeneste, mens der blev gjort en indsats for at underrette brugerne om DNSChanger-ondsindet program og vente på, at antallet af verdensomspændende infektioner faldt.
oprindeligt var rogue DNS-netværket planlagt til lukning i Marts i år; mens infektionsraten faldt markant, når kriminalitetsringen blev brudt op, er antallet af inficerede computere forblevet relativt højt, så FBI forlængede fristen til 9.juli (denne kommende mandag). Desværre, selv når denne frist nærmer sig, er tusindvis af PC-systemer over hele verden stadig inficeret med DNSChanger-ondsindet program, og når serverne lukkes ned, vil disse systemer ikke længere kunne løse URL ‘ er til IP-adresser.