een met DNSChanger geïnfecteerde machine detecteren en repareren
op 9 juli zal de FBI een netwerk van DNS-servers sluiten waarvan veel mensen afhankelijk zijn voor een goede internettoegang. Deze servers waren oorspronkelijk een deel van een scam waar een misdaad ring van Estse onderdanen ontwikkeld en gedistribueerd een malware pakket genaamd DNSChanger, maar die de FBI in beslag genomen en omgezet in een legitieme DNS-dienst.
deze malwarezwendel is wijdverbreid genoeg geweest dat zelfs derde bedrijven zoals Google en Facebook en een aantal isp ‘ s zoals Comcast, COX, Verizon en AT&T zich hebben aangesloten bij de poging om te helpen verwijderen door het verstrekken van automatische meldingen aan gebruikers dat hun systemen zijn geconfigureerd met het bedrieglijke DNS-netwerk.
Als u onlangs een waarschuwing hebt ontvangen bij het uitvoeren van een Google-zoekopdracht, het browsen op Facebook of anderszins het gebruik van het Web dat beweert dat uw systeem in gevaar is, dan kunt u overwegen een paar stappen te nemen om uw systeem te controleren op de aanwezigheid van de malware. Dit kan op een aantal manieren. Eerst kunt u de DNS-instellingen in uw systeem controleren om te zien of de servers die uw computer gebruikt, deel uitmaken van het bedrieglijke DNS-netwerk.
op Mac-systemen opent u de voorkeuren van het netwerksysteem en voor elke netwerkdienst (Wi-Fi, Ethernet, Bluetooth, enz.), selecteer de service en klik vervolgens op de” Advanced ” knop. Volg dit door het selecteren van de ” DNS ” tab en het maken van nota van de DNS-servers vermeld. U kunt dit ook in de Terminal doen door eerst het volgende commando uit te voeren:
networksetup-listallnetworkservices
nadat deze opdracht is uitgevoerd, voert u de volgende opdracht uit op elk van de genoemde namen (verwijder alle sterretjes voor de namen en zorg ervoor dat de namen tussen aanhalingstekens staan als er spaties in staan):
networksetup-getdnsservers “SERVICE NAME”
herhaal deze opdracht voor alle vermelde Services (met name Ethernet-en wi-fi-verbindingen) om alle geconfigureerde DNS-servers weer te geven.
op een Windows-machine (inclusief alle programma ‘ s die u op een virtuele machine hebt geïnstalleerd) kunt u het opdrachtregelprogramma openen (selecteer “Uitvoeren” in het menu Start en voer “cmd” in, of selecteer in Windows 7 “Alle programma ‘s” en kies vervolgens de opdrachtregel in de map Accessoires). Voer op de opdrachtregel de volgende opdracht uit om alle informatie over de netwerkinterface weer te geven, inclusief geconfigureerde IP-adressen van de DNS-server:
ipconfig / all
zodra u de DNS-servers van uw systeem hebt vermeld, voert u ze in op de webpagina van de FBI voor DNS-checker om te zien of ze zijn geïdentificeerd als onderdeel van het bedrieglijke DNS-netwerk. Naast het handmatig opzoeken en controleren van uw DNS-instellingen, een aantal webservices zijn opgedoken die uw systeem zal testen voor de DNSChanger malware. De DNSChanger Werkgroep heeft een lijst samengesteld van veel van deze diensten, die u kunt gebruiken om uw systeem te testen (voor die in de VS, kunt u naar dns-ok.us om uw verbinding te testen).
als deze tests schoon uitkomen, dan hoeft u zich geen zorgen te maken; echter, als ze u waarschuwingen geven, dan kunt u een anti-malware scanner gebruiken om te controleren op en verwijderen van de DNSChanger malware. Gezien het feit dat de malware abrupt werd gestopt in November 2011, Er is voldoende tijd voor beveiligingsbedrijven om hun anti-malware definities bij te werken om alle varianten van DNSChanger omvatten. Als u een malware scanner en hebben niet gebruikt onlangs, dan moet u starten en volledig bij te werken, gevolgd door het uitvoeren van een volledige scan van uw systeem. Doe dit voor elke PC en Mac op uw netwerk, en daarnaast moet u de instellingen van uw router te controleren om te zien of de DNS-instellingen zijn er goede degenen van uw ISP of rogue DNS-instellingen.
als uw router of computer geen geldige DNS-serveradressen toont nadat u de malware hebt verwijderd, en uw systeem geen verbinding kan maken met internetdiensten, kunt u proberen uw systeem te configureren om een openbare DNS-dienst te gebruiken, zoals die van OpenDNS en Google, door de volgende IP-adressen in de netwerkinstellingen van uw systeem in te voeren:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
als u na maandag geen toegang meer hebt tot het Internet, dan is het waarschijnlijk dat uw systeem of netwerkrouter nog steeds geconfigureerd is met de bedrieglijke DNS-servers en dat u opnieuw moet proberen de malware van uw systemen te detecteren en te verwijderen. Gelukkig is de malware is niet viraal van aard, zodat het niet zelf-verspreiden en automatisch opnieuw infecteren systemen. Daarom, eenmaal verwijderd en zodra gebruikers geldige DNS-servers op hun systemen hebben ingesteld, dan moeten de getroffen computers goede toegang tot het Internet hebben.
Achtergrond
DNS is het “Domain Name System”, dat werkt als het telefoonboek van het Internet en mensvriendelijke URL ‘ s vertaalt zoals “www.cnet.com” in hun respectievelijke IP-adressen die computers en routers gebruiken om verbindingen tot stand te brengen. Aangezien DNS de interface is tussen de getypte URL en de beoogde server, creëerde de misdaadring zijn eigen DNS-netwerk dat grotendeels normaal zou werken, maar zou de ring ook toestaan om willekeurig het verkeer naar specifieke URL ‘ s om te leiden naar nep-websites met het oog op het stelen van persoonlijke informatie of het krijgen van mensen om te klikken op advertenties.
het opzetten van het bedrieglijke DNS-netwerk zelf is niet genoeg, omdat dit netwerk moet worden gespecificeerd in de instellingen van een computer om te kunnen worden gebruikt. Om dit te laten gebeuren, de misdaad ring creëerde de DNSChanger malware (ook wel aangeduid als RSplug, Puper, en Jahlv), die werd gedistribueerd als een Trojaans paard en met succes besmet miljoenen PC-systemen wereldwijd. Eenmaal geïnstalleerd, deze malware zou voortdurend veranderen de DNS-instellingen voor de getroffen computer en zelfs voor netwerkrouters, om te wijzen op de misdaad ring rogue DNS-netwerk. Als gevolg daarvan, zelfs als mensen handmatig veranderd hun computers ‘ DNS-instellingen, deze wijzigingen zouden automatisch worden teruggedraaid door de malware op hun systemen.
omdat miljoenen PC-gebruikers besmet waren met deze malware, besloten de FBI en andere overheidsinstanties, nadat de misdaadring In November 2011 werd uitgeschakeld in een multilaterale sting genaamd Operation Ghost Click, het bedrieglijke DNS-netwerk niet uit te schakelen, omdat dit direct zou hebben voorkomen dat de geïnfecteerde systemen URL ‘ s konden oplossen, en daarmee het Internet voor hen zou hebben afgesloten. In plaats daarvan, de DNS-netwerk werd actief gehouden en omgezet in een legitieme dienst, terwijl de inspanningen werden ingesteld om gebruikers van de DNSChanger malware te melden en te wachten tot het aantal wereldwijde infecties te dalen.
aanvankelijk was het bedrieglijke DNS-netwerk gepland voor sluiting in Maart van dit jaar; hoewel het aantal infecties aanzienlijk daalde nadat de misdaadbende was verbroken, is het aantal geïnfecteerde computers relatief hoog gebleven, dus de FBI verlengde de deadline tot 9 juli (aanstaande maandag). Helaas, zelfs als deze deadline nadert, duizenden PC-systeem wereldwijd nog steeds besmet met de DNSChanger malware, en wanneer de servers worden uitgeschakeld deze systemen zullen niet langer in staat zijn om URL ‘ s op te lossen om IP-adressen.