DNSChangerに感染したマシンを検出して修正する方法

DNSChangerに感染したマシンを検出して修正する方法

7月9日に、FBIは、多くの人々が適切なインターネットアクセスのために依存していたDNSサーバーのネットワークを閉鎖するでしょう。 これらのサーバーは、もともとエストニアの国民の犯罪リングが開発し、DNSChangerと呼ばれるマルウェアパッケージを配布した詐欺の一部でした,しかし、FBIが押収

このマルウェア詐欺は、GoogleやFacebookのようなサードパーティ企業やComcast、COX、Verizon、AT&Tのような多くのIspでさえ、システムが不正なDNSネットワークで構成されていることをユーザーに自動通知を発行することによって、それを削除するのに役立つ努力に参加しているほど広く普及している。

検索結果の上部に表示される警告。
Googleや他のサービスを使用しているときにこのような警告や同様の警告が表示された場合は、システムにマルウェアがないか確認してください。 CNET

Google検索の実行、Facebookの閲覧、またはシステムが侵害されている可能性があると主張するWebの使用時に警告を最近受け取った場合は、システムにマルウェアの存在を確認するためにいくつかの手順を実行することを検討するかもしれません。 これはいくつかの方法で行うことができます。 まず、システムのDNS設定を確認して、コンピュータが使用しているサーバーが不正なDNSネットワークの一部であるかどうかを確認できます。

Macシステムでは、ネットワークシステム環境設定を開き、各ネットワークサービス(Wi-Fi、イーサネット、Bluetoothなど)を開きます。)、サービスを選択し、”詳細設定”ボタンをクリックします。 “DNS”タブを選択し、記載されているDNSサーバーのメモを作ることによって、これに従ってください。 最初に次のコマンドを実行することで、端末でこれを行うこともできます:

OS XのDNS設定の場所
すべてのネットワーク接続のこの場所を確認して、OS XのDNS設定を確認します(クリックすると拡大表示されます)。 Screenshot by Topher Kessler/CNET

networksetup-listallnetworkservices

このコマンドを実行した後、リストされた各名前に対して次のコマンドを実行します(名前の前にアスタリスクを削除し、空白がある場合は名前が引用符で囲まれていることを確認してください)。

networksetup-getdnsservers”SERVICE NAME”

すべてのサービス(特にイーサネットおよびwi-fi接続)に対してこのコマンドを繰り返して、設定されているすべてのdnsサーバーを一覧表示します。

Windowsマシン(仮想マシンにインストールしたものを含む)では、コマンドラインツールを開くことができます(スタートメニューから”実行”を選択して”cmd”と入力するか、Windows7で”すべてのプログラム”を選択してから、”Accessories”フォルダからコマンドラインを選択します)。 コマンドラインで、次のコマンドを実行して、構成済みのDNSサーバー IPアドレスを含むすべてのネットワークインターフェイス情報を一覧表示します:

DNSサーバーを表示するWindowsコマンドライン
すべてのインターフェイスのWindows DNSサーバー設定は、コマンドラインで確認できます(クリックすると拡大表示 システムのDNSサーバーがリストされたら、FBIのDNS checker Webページにそれらを入力して、不正なDNSネットワークの一部として識別されているかどうかを確認します。 手動で検索し、DNS設定を確認することに加えて、Webサービスの数は、DNSChangerマルウェアのためにあなたのシステムをテストしますポップアップしています。 DNSChangerワーキンググループは、システムをテストするために使用できるこれらのサービスの多くのリストをまとめました(米国のものについては、次の場所に行dns-ok.us あなたの接続をテストするために)。

これらのテストがきれいになったら、心配することは何もありませんが、警告が表示された場合は、マルウェア対策スキャナを使用してDNSChangerマルウェアを マルウェアが2011年に突然停止されたことを考えると、セキュリティ会社がDNSChangerのすべての亜種を含むようにマルウェア対策の定義を更新するのに十分 あなたはマルウェアスキャナを持っており、最近それを使用していない場合は、お使いのシステムのフルスキャンを実行することに続いて、完全に ネットワーク上のすべてのPCとMacのためにこれを行い、さらにDNS設定は、ISPからの適切なものがあるか、不正なDNS設定であるかどうかを確認するために、ルータの設定を確認するようにしてください。

マルウェアを削除した後、ルーターまたはコンピュータに有効なDNSサーバーアドレスが表示されず、システムがインターネットサービスに接続できない場合は、OpenDNSやGoogleのようなパブリックDNSサービスを使用するようにシステムのネットワーク設定に次のIPアドレスを入力して設定してみてください。:

8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220

月曜日以降にインターネットにアクセスできなくなった場合は、システムまたはネットワークルーターが不正なDNSサーバーで構成されている可能性があ それは自己伝播し、自動的にシステムを再感染しませんので、幸いなことに、マルウェアは、自然の中でウイルスではありません。 したがって、一度削除し、ユーザーが自分のシステム上で有効なDNSサーバーを設定したら、影響を受けるコンピュータは、インターネットへの適切なアクセ

背景
DNSは”ドメインネームシステム”で、インターネットの電話帳のように機能し、”などの人間に優しいUrlを変換しますwww.cnet.com”コンピュータとルータが接続を確立するために使用するそれぞれのIPアドレスに。 DNSは、入力されたURLとターゲットサーバーとの間のインターフェイスであるため、犯罪リングは、大部分が正常に動作するだろうが、また、リングが任意に個人情報を盗むか、広告をクリックする人々を得るための目的のために偽のWebサイトに特定のUrlのトラフィッ

不正なDNSネットワーク自体を設定するだけでは十分ではありません。 これを実現するために、crime ringはDNSChangerマルウェア(RSplug、Puper、Jahlavとも呼ばれます)を作成し、トロイの木馬として配布され、世界中の何百万ものPCシステムに感染しました。 一度インストールすると、このマルウェアは継続的に犯罪リングの不正なDNSネットワークを指すように、影響を受けるコンピュータのために、さらにはネットワー その結果、ユーザーが手動でコンピュータのDNS設定を変更した場合でも、これらの変更はシステム上のマルウェアによって自動的に元に戻されます。

DNSChanger感染率チャート
そのテイクダウン以来、感染したシステムの数は減少していますが、世界中の何千ものシステムがまだ感染しています。 DCWG

何百万人ものPCユーザーがこのマルウェアに感染していたため、2011年のゴーストクリック作戦と呼ばれる多国間の刺し傷で犯罪リングが倒されると、FBIや他の政府当局は、感染したシステムがUrlを解決するのを即座に妨げ、それによってインターネットを効果的にシャットダウンすることになるため、不正なDNSネットワークをオフにすることを決定した。 代わりに、DNSネットワークはアクティブに保たれ、正当なサービスに変換されましたが、DNSChangerマルウェアをユーザーに通知し、世界的な感染の数が減少するのを待

当初、不正なDNSネットワークは今年3月に閉鎖される予定だったが、犯罪リングが崩壊すると感染率は大幅に低下したが、感染したコンピュータの数は比較的高いままであったため、FBIは期限を7月9日(今週の月曜日)に延長した。 残念ながら、この期限が近づいても、世界中の何千ものPCシステムがDNSChangerマルウェアに感染しており、サーバーがシャットダウンされると、これらのシステムはUrlをIPアドレスに解決することができなくなります。

Leave a Reply

メールアドレスが公開されることはありません。