jak wykryć i naprawić maszynę zainfekowaną DNSChanger
9 lipca FBI zamknie sieć serwerów DNS, od których wielu ludzi zależało, aby uzyskać odpowiedni dostęp do Internetu. Serwery te były pierwotnie częścią oszustwa, w którym przestępczy krąg obywateli Estonii opracował i rozpowszechnił pakiet złośliwego oprogramowania o nazwie DNSChanger, ale który FBI przejęło i przekształciło w legalną usługę DNS.
to złośliwe oprogramowanie jest na tyle powszechne, że nawet firmy zewnętrzne, takie jak Google i Facebook, a także wielu dostawców usług internetowych, takich jak Comcast, COX, Verizon i AT & t, dołączyły do wysiłków, aby pomóc je usunąć, wydając automatyczne powiadomienia użytkownikom, że ich systemy są skonfigurowane z nieuczciwą siecią DNS.
jeśli ostatnio otrzymałeś ostrzeżenie podczas wyszukiwania w Google, przeglądania Facebooka lub w inny sposób korzystania z Internetu, które twierdzi, że Twój system może być zagrożony, możesz rozważyć podjęcie kilku kroków w celu sprawdzenia systemu pod kątem obecności złośliwego oprogramowania. Można to zrobić na kilka sposobów. Najpierw możesz sprawdzić ustawienia DNS w systemie, aby sprawdzić, czy serwery, z których korzysta Twój komputer, są częścią nieuczciwej sieci DNS.
W systemach Mac otwórz Preferencje systemu sieciowego i dla każdej usługi sieciowej (Wi-Fi, Ethernet, Bluetooth itp.), wybierz usługę, a następnie kliknij przycisk” Zaawansowane”. Postępuj zgodnie z tym, wybierając kartę ” DNS ” i notując wymienione serwery DNS. Możesz to również zrobić w Terminalu, uruchamiając najpierw następujące polecenie:
networksetup-listallnetworkservices
po uruchomieniu tej komendy, następnie uruchom następujące polecenie na każdej z wymienionych nazw (pamiętaj, aby usunąć gwiazdki z przodu nazw i upewnić się, że nazwy są w cudzysłowie, jeśli są w nich spacje):
networksetup-getdnsservers „Nazwa Usługi”
powtórz to polecenie dla wszystkich wymienionych usług (zwłaszcza połączeń Ethernet i Wi-Fi), aby wyświetlić listę wszystkich skonfigurowanych serwerów DNS.
na komputerze z systemem Windows (w tym dowolnym z tych, które możesz zainstalować na maszynie wirtualnej), możesz otworzyć narzędzie wiersza poleceń (wybierz „Uruchom” z menu Start i wprowadź „cmd”, lub w systemie Windows 7 wybierz „Wszystkie Programy”, a następnie wybierz wiersz poleceń z folderu Akcesoria). W wierszu poleceń uruchom następujące polecenie, aby wyświetlić listę wszystkich informacji o interfejsie sieciowym, w tym skonfigurowanych adresów IP serwera DNS:
ipconfig /all
gdy już masz serwery DNS swojego systemu na liście, wprowadź je na stronie internetowej kontrolera DNS FBI, aby sprawdzić, czy są one zidentyfikowane jako część nieuczciwej sieci DNS. Oprócz ręcznego sprawdzania i sprawdzania ustawień DNS, pojawiło się wiele usług internetowych, które przetestują system pod kątem złośliwego oprogramowania DNSChanger. Grupa Robocza DNSChanger opracowała listę wielu z tych usług, które można wykorzystać do przetestowania systemu (dla tych w USA, można przejść do dns-ok.us aby przetestować połączenie).
jeśli te testy są czyste, nie masz się czym martwić; jednak, jeśli dają ci jakieś ostrzeżenia, możesz użyć skanera anty-malware, aby sprawdzić i usunąć złośliwe oprogramowanie DNSChanger. Biorąc pod uwagę, że złośliwe oprogramowanie zostało nagle zatrzymane w listopadzie 2011 r., firmy zabezpieczające miały wystarczająco dużo czasu, aby zaktualizować swoje definicje anty-malware, aby obejmowały wszystkie warianty DNSChanger. Jeśli masz skaner złośliwego oprogramowania i nie korzystałeś z niego ostatnio, pamiętaj, aby go uruchomić i zaktualizować w pełni, a następnie wykonać pełne skanowanie systemu. Zrób to dla każdego komputera PC i Mac w sieci, a ponadto należy sprawdzić ustawienia routera, aby sprawdzić, czy ustawienia DNS są odpowiednie z twojego dostawcy usług internetowych lub są nieuczciwe ustawienia DNS.
jeśli twój router lub komputer nie pokazuje żadnych poprawnych adresów serwera DNS po usunięciu złośliwego oprogramowania, a system nie może połączyć się z usługami internetowymi, możesz spróbować skonfigurować system tak, aby korzystał z publicznej usługi DNS, takiej jak te z OpenDNS i Google, wprowadzając następujące adresy IP do ustawień sieciowych systemu:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
jeśli po poniedziałku okaże się, że nie możesz już uzyskać dostępu do Internetu, prawdopodobnie Twój system lub router sieciowy jest nadal skonfigurowany z nieuczciwymi serwerami DNS i będziesz musiał ponownie spróbować wykryć i usunąć złośliwe oprogramowanie z systemów. Na szczęście złośliwe oprogramowanie nie ma charakteru wirusowego, więc nie będzie się samo propagować i automatycznie ponownie zainfekować systemów. Dlatego po usunięciu i skonfigurowaniu poprawnych serwerów DNS w swoich systemach, dotknięte komputery powinny mieć odpowiedni dostęp do Internetu.
DNS to „system nazw domen”, który działa jak internetowa książka telefoniczna i tłumaczy przyjazne dla człowieka adresy URL, takie jak „www.cnet.com” do odpowiednich adresów IP używanych przez komputery i routery do nawiązywania połączeń. Ponieważ DNS jest interfejsem między wpisanym adresem URL a docelowym serwerem, pierścień przestępczy stworzył własną sieć DNS, która w dużej mierze działałaby normalnie, ale także pozwalałaby pierścieniu arbitralnie przekierowywać ruch dla określonych adresów URL do fałszywych stron internetowych w celu kradzieży danych osobowych lub nakłaniania ludzi do klikania reklam.
samo skonfigurowanie nieuczciwej sieci DNS nie wystarczy, ponieważ sieć ta musi być określona w ustawieniach komputera, aby mogła być używana. Aby tak się stało, grupa przestępcza stworzyła złośliwe oprogramowanie DNSChanger (zwane również RSplug, Puper i Jahlav), które zostało rozpowszechnione jako koń trojański i skutecznie zainfekowało miliony systemów komputerowych na całym świecie. Po zainstalowaniu złośliwe oprogramowanie stale zmieniało ustawienia DNS dla dotkniętego komputera, a nawet dla routerów sieciowych, aby wskazać nieuczciwą sieć DNS kręgu przestępczego. W rezultacie nawet jeśli ludzie ręcznie zmienią ustawienia DNS swoich komputerów, zmiany te zostaną automatycznie cofnięte przez złośliwe oprogramowanie w ich systemach.
ponieważ miliony użytkowników komputerów PC zostały zainfekowane tym złośliwym oprogramowaniem, po usunięciu kręgu przestępczego w ramach wielostronnej operacji Ghost Click z listopada 2011 roku, FBI i inne władze rządowe zdecydowały się nie wyłączyć nieuczciwej sieci DNS, ponieważ natychmiast uniemożliwiłoby to zainfekowanym systemom rozwiązywanie adresów URL, a tym samym skutecznie zamknęłoby im Internet. Zamiast tego sieć DNS była aktywna i przekształcona w legalną usługę, podczas gdy podejmowane były wysiłki, aby powiadomić użytkowników o złośliwym oprogramowaniu DNSChanger i czekać na spadek liczby infekcji na całym świecie.
początkowo nieuczciwa sieć DNS miała zostać zamknięta w marcu tego roku; jednak, podczas gdy wskaźnik infekcji znacznie spadł po zerwaniu kręgu przestępczego, liczba zainfekowanych komputerów pozostała stosunkowo wysoka, więc FBI wydłużyło termin do 9 lipca (najbliższy poniedziałek). Niestety, nawet gdy zbliża się ten termin, tysiące systemów komputerowych na całym świecie są nadal zainfekowane złośliwym oprogramowaniem DNSChanger, a po zamknięciu serwerów systemy te nie będą już w stanie rozwiązać adresów URL do adresów IP.