Comment détecter et réparer une machine infectée par DNSChanger
Le 9 juillet, le FBI fermera un réseau de serveurs DNS dont beaucoup de gens dépendaient pour un accès Internet approprié. Ces serveurs faisaient à l’origine partie d’une escroquerie dans laquelle un réseau criminel de ressortissants estoniens a développé et distribué un paquet de logiciels malveillants appelé DNSChanger, mais que le FBI a saisi et converti en un service DNS légitime.
Cette arnaque aux logiciels malveillants a été suffisamment répandue pour que même des sociétés tierces comme Google et Facebook et un certain nombre de FAI comme Comcast, COX, Verizon et AT & T se joignent à l’effort pour aider à la supprimer en émettant des notifications automatiques aux utilisateurs que leurs systèmes sont configurés avec le réseau DNS malveillant.
Si vous avez récemment reçu un avertissement lors d’une recherche Google, d’une navigation sur Facebook ou d’une autre utilisation du Web qui prétend que votre système peut être compromis, vous pouvez envisager de prendre quelques mesures pour vérifier la présence du logiciel malveillant sur votre système. Cela peut être fait de plusieurs façons. Vous pouvez d’abord vérifier les paramètres DNS de votre système pour voir si les serveurs que votre ordinateur utilise font partie du réseau DNS malveillant.
Sur les systèmes Mac, ouvrez les préférences système Réseau et pour chaque service réseau (Wi-Fi, Ethernet, Bluetooth, etc.), sélectionnez le service, puis cliquez sur le bouton « Avancé ». Suivez ceci en sélectionnant l’onglet « DNS » et en prenant note des serveurs DNS répertoriés. Vous pouvez également le faire dans le Terminal en exécutant d’abord la commande suivante:
networksetup-listallnetworkservices
Une fois cette commande exécutée, exécutez ensuite la commande suivante sur chacun des noms répertoriés (assurez-vous de supprimer les astérisques devant les noms et assurez-vous que les noms sont entre guillemets s’il y a des espaces) :
networksetup – getdnsservers « NOM DU SERVICE »
Répétez cette commande pour tous les services répertoriés (en particulier les connexions Ethernet et Wi-Fi) pour répertorier tous les serveurs DNS configurés.
Sur une machine Windows (y compris celles que vous avez installées sur une machine virtuelle), vous pouvez ouvrir l’outil de ligne de commande (sélectionnez « Exécuter » dans le menu Démarrer et entrez « cmd », ou dans Windows 7 sélectionnez « Tous les programmes », puis choisissez la ligne de commande dans le dossier Accessoires). Dans la ligne de commande, exécutez la commande suivante pour répertorier toutes les informations d’interface réseau, y compris les adresses IP du serveur DNS configurées:
ipconfig /all
Une fois que les serveurs DNS de votre système sont répertoriés, entrez-les dans la page Web du vérificateur DNS du FBI pour voir s’ils sont identifiés comme faisant partie du réseau DNS malveillant. En plus de rechercher et de vérifier manuellement vos paramètres DNS, un certain nombre de services Web sont apparus qui testeront votre système pour détecter le malware DNSChanger. Le groupe de travail DNSChanger a compilé une liste de plusieurs de ces services, que vous pouvez utiliser pour tester votre système (pour ceux aux États-Unis, vous pouvez aller à dns-ok.us pour tester votre connexion).
Si ces tests sont propres, vous n’avez rien à craindre ; cependant, s’ils vous donnent des avertissements, vous pouvez utiliser un scanner anti-malware pour rechercher et supprimer le malware DNSChanger. Étant donné que le malware a été brusquement arrêté en novembre 2011, les entreprises de sécurité ont eu amplement le temps de mettre à jour leurs définitions anti-malware pour inclure toutes les variantes de DNSChanger. Si vous avez un scanner de logiciels malveillants et que vous ne l’avez pas utilisé récemment, assurez-vous de le lancer et de le mettre à jour complètement, puis d’effectuer une analyse complète de votre système. Faites-le pour tous les PC et Mac de votre réseau, et assurez-vous en outre de vérifier les paramètres de votre routeur pour voir si les paramètres DNS de votre FAI sont appropriés ou s’il s’agit de paramètres DNS indésirables.
Si votre routeur ou votre ordinateur n’affiche aucune adresse de serveur DNS valide après avoir supprimé le logiciel malveillant et que votre système ne peut pas se connecter aux services Internet, vous pouvez essayer de configurer votre système pour qu’il utilise un service DNS public, tel que ceux d’OpenDNS et de Google, en entrant les adresses IP suivantes dans les paramètres réseau de votre système:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
Si, après lundi, vous constatez que vous ne pouvez plus accéder à Internet, il est probable que votre routeur système ou réseau soit toujours configuré avec les serveurs DNS indésirables et vous devrez à nouveau tenter de détecter et de supprimer les logiciels malveillants de vos systèmes. Heureusement, le malware n’est pas de nature virale, il ne se propagera donc pas et ne réinfectera pas automatiquement les systèmes. Par conséquent, une fois supprimés et une fois que les utilisateurs ont configuré des serveurs DNS valides sur leurs systèmes, les ordinateurs concernés doivent avoir un accès approprié à Internet.
Contexte
Le DNS est le » système de noms de domaine « , qui agit comme l’annuaire téléphonique d’Internet et traduit des URL conviviales telles que « www.cnet.com » dans leurs adresses IP respectives que les ordinateurs et les routeurs utilisent pour établir des connexions. Étant donné que le DNS est l’interface entre l’URL tapée et le serveur ciblé, l’anneau du crime a créé son propre réseau DNS qui fonctionnerait en grande partie normalement, mais permettrait également à l’anneau de rediriger arbitrairement le trafic pour des URL spécifiques vers de faux sites Web dans le but de voler des informations personnelles ou d’inciter les gens à cliquer sur des publicités.
La configuration du réseau DNS indésirable lui-même n’est pas suffisante, car ce réseau doit être spécifié dans les paramètres d’un ordinateur pour être utilisé. Pour ce faire, l’anneau du crime a créé le logiciel malveillant DNSChanger (également appelé RSplug, Puper et Jahlav), qui a été distribué comme un cheval de Troie et a infecté avec succès des millions de systèmes PC dans le monde. Une fois installé, ce logiciel malveillant modifierait en permanence les paramètres DNS de l’ordinateur concerné et même des routeurs réseau, pour pointer vers le réseau DNS malveillant de l’anneau du crime. En conséquence, même si les utilisateurs modifiaient manuellement les paramètres DNS de leur ordinateur, ces modifications seraient automatiquement annulées par le logiciel malveillant sur leurs systèmes.
Étant donné que des millions d’utilisateurs de PC avaient été infectés par ce logiciel malveillant, une fois que le réseau criminel a été démantelé lors d’une piqûre multilatérale appelée Opération Ghost Click en novembre 2011, le FBI et d’autres autorités gouvernementales ont décidé de ne pas désactiver le réseau DNS malveillant car cela aurait instantanément empêché les systèmes infectés de résoudre les URL, et aurait ainsi effectivement fermé Internet pour eux. Au lieu de cela, le réseau DNS a été maintenu actif et converti en un service légitime pendant que des efforts ont été mis en place pour informer les utilisateurs du malware DNSChanger et attendre que le nombre d’infections mondiales diminue.
Initialement, le réseau DNS malveillant devait être fermé en mars de cette année; cependant, alors que le taux d’infections a considérablement diminué une fois que le réseau criminel a été démantelé, le nombre d’ordinateurs infectés est resté relativement élevé, de sorte que le FBI a prolongé la date limite au 9 juillet (lundi prochain). Malheureusement, même à l’approche de cette échéance, des milliers de systèmes de PC dans le monde sont toujours infectés par le malware DNSChanger, et lorsque les serveurs sont arrêtés, ces systèmes ne seront plus en mesure de résoudre les URL vers les adresses IP.