cum de a detecta și repara o mașină infectată cu DNSChanger
pe 9 iulie, FBI va închide o rețea de servere DNS pe care mulți oameni au depins pentru un acces adecvat la Internet. Aceste servere au fost inițial o parte a unei înșelătorii în care un grup de cetățeni estonieni a dezvoltat și distribuit un pachet malware numit DNSChanger, dar pe care FBI l-a confiscat și transformat într-un serviciu DNS legitim.
această înșelătorie malware-ului a fost suficient de răspândită încât chiar și companii terțe precum Google și Facebook și un număr de ISP-uri precum Comcast, COX, Verizon și AT& T s-au alăturat efortului de a ajuta la eliminarea acestuia prin emiterea de notificări automate utilizatorilor că sistemele lor sunt configurate cu rețeaua DNS necinstită.
dacă ați primit recent un avertisment atunci când efectuați o căutare Google, navigați pe Facebook sau utilizați în alt mod Web-ul care susține că sistemul dvs. poate fi compromis, atunci vă recomandăm să faceți câțiva pași pentru a verifica sistemul dvs. pentru prezența malware-ului. Acest lucru se poate face în câteva moduri. Mai întâi puteți verifica setările DNS din sistemul dvs. pentru a vedea dacă serverele pe care le utilizează computerul dvs. fac parte din rețeaua DNS necinstită.
pe sistemele Mac deschideți preferințele sistemului de rețea și pentru fiecare serviciu de rețea (Wi-Fi, Ethernet, Bluetooth etc.), selectați serviciul și apoi faceți clic pe butonul” Avansat”. Urmați acest lucru selectând fila” DNS ” și notând serverele DNS listate. Puteți face acest lucru și în Terminal executând mai întâi următoarea comandă:
networksetup-listallnetworkservices
după ce această comandă este executată, executați următoarea comandă pe fiecare dintre numele listate (asigurați-vă că eliminați asteriscurile din fața numelor și asigurați-vă că numele sunt între ghilimele dacă există spații în ele):
networksetup-getdnsservers „nume serviciu”
repetați această comandă pentru toate serviciile listate (în special conexiunile Ethernet și Wi-Fi) pentru a lista toate serverele DNS configurate.
pe o mașină Windows (inclusiv oricare dintre cele pe care le-ați instalat într-o mașină virtuală), puteți deschide instrumentul de linie de comandă (selectați „Run” din meniul Start și introduceți „cmd” sau în Windows 7 Selectați „toate programele” și apoi alegeți linia de comandă din folderul Accesorii). În linia de comandă, executați următoarea comandă pentru a lista toate informațiile despre interfața de rețea, inclusiv adresele IP ale serverului DNS configurate:
ipconfig /all
odată ce aveți serverele DNS ale sistemului dvs. listate, introduceți-le în pagina web a verificatorului DNS al FBI pentru a vedea dacă sunt identificate ca parte a rețelei DNS necinstite. În plus față de căutarea manuală și verificarea setărilor DNS, au apărut o serie de servicii Web care vă vor testa sistemul pentru malware-ul DNSChanger. Grupul de lucru DNSChanger a compilat o listă cu multe dintre aceste servicii, pe care le puteți utiliza pentru a testa sistemul dvs. (pentru cei din SUA, puteți merge la dns-ok.us pentru a testa conexiunea).
dacă aceste teste vin curate, atunci nu aveți de ce să vă faceți griji; cu toate acestea, dacă vă dau avertismente, atunci puteți utiliza un scaner anti-malware pentru a verifica și elimina malware-ul DNSChanger. Având în vedere că malware-ul a fost oprit brusc în noiembrie 2011, a existat suficient timp pentru ca companiile de securitate să își actualizeze definițiile Anti-malware pentru a include toate variantele DNSChanger. Dacă aveți un scaner malware și nu l-ați folosit recent, atunci asigurați-vă că îl lansați și îl actualizați complet, urmat de efectuarea unei scanări complete a sistemului. Faceți acest lucru pentru fiecare PC și Mac din rețeaua dvs. și, în plus, asigurați-vă că verificați setările routerului pentru a vedea dacă setările DNS sunt cele adecvate de la ISP sau sunt setări DNS necinstite.
dacă routerul sau computerul dvs. nu afișează nicio adresă de server DNS validă după ce ați eliminat malware-ul și sistemul dvs. nu se poate conecta la servicii Internet, atunci puteți încerca să configurați sistemul să utilizeze un serviciu DNS public, cum ar fi cele de la OpenDNS și Google, introducând următoarele adrese IP în setările de rețea ale sistemului:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
dacă după luni veți găsi că nu mai puteți accesa Internetul, atunci este probabil ca sistemul dvs. sau routerul de rețea să fie încă configurat cu serverele DNS necinstite și va trebui să încercați din nou să detectați și să eliminați malware-ul din sistemele dvs. Din fericire, malware-ul nu este viral în natură, astfel încât nu se va auto-propaga și va reinfecta automat sistemele. Prin urmare, odată eliminat și odată ce utilizatorii au configurat servere DNS valide pe sistemele lor, atunci computerele afectate ar trebui să aibă acces adecvat la Internet.
Background
DNS este „sistemul de nume de domeniu”, care acționează ca agenda telefonică a Internetului și traduce URL-uri prietenoase cu oamenii, cum ar fi „www.cnet.com” în adresele IP respective pe care computerele și routerele le folosesc pentru a stabili conexiuni. Deoarece DNS este interfața dintre URL-ul tastat și serverul vizat, inelul crimei și-a creat propria rețea DNS care ar funcționa în mare parte în mod normal, dar ar permite, de asemenea, inelului să redirecționeze în mod arbitrar traficul pentru anumite adrese URL către site-uri web false în scopul furtului de informații personale sau de a determina oamenii să facă clic pe reclame.
Configurarea rețelei DNS necinstiți în sine nu este suficient, deoarece această rețea trebuie să fie specificate în setările unui computer pentru a fi utilizate. Pentru a face acest lucru, rețeaua criminală a creat malware-ul DNSChanger (denumit și RSplug, Puper și Jahlav), care a fost distribuit ca un cal troian și a infectat cu succes milioane de sisteme PC din întreaga lume. Odată instalat, acest malware ar schimba continuu setările DNS pentru computerul afectat și chiar pentru routerele de rețea, pentru a indica rețeaua DNS necinstită a inelului crimei. Drept urmare, chiar dacă oamenii ar schimba manual setările DNS ale computerelor lor, aceste modificări ar fi returnate automat de malware-ul de pe sistemele lor.
din moment ce milioane de utilizatori de PC-uri au fost infectate de acest malware, odată ce inelul crimei a fost luată în jos într-o noiembrie 2011 intepatura multilaterală numit Operațiunea Ghost Click, FBI și alte autorități guvernamentale au decis împotriva oprirea rețelei DNS necinstiți ca acest lucru ar fi împiedicat instantaneu sistemele infectate de la rezolvarea URL-uri, și, prin urmare, ar fi închis în mod eficient pe Internet pentru ei. În schimb, rețeaua DNS a fost menținută activă și transformată într-un serviciu legitim, în timp ce s-au depus eforturi pentru a notifica utilizatorii malware-ului DNSChanger și pentru a aștepta scăderea numărului de infecții la nivel mondial.
inițial, rețeaua DNS necinstită a fost programată pentru închidere în luna martie a acestui an; cu toate acestea, în timp ce rata infecțiilor a scăzut semnificativ odată cu ruperea inelului infracțional, numărul computerelor infectate a rămas relativ ridicat, astfel încât FBI a prelungit termenul până la 9 iulie (luni viitoare). Din păcate, chiar și pe măsură ce se apropie acest termen, mii de sisteme PC din întreaga lume sunt încă infectate cu malware-ul DNSChanger, iar atunci când serverele sunt închise, aceste sisteme nu vor mai putea rezolva adresele URL la adresele IP.