hur man upptäcker och fixar en maskin infekterad med DNSChanger

den 9 juli kommer FBI att stänga ett nätverk av DNS-servrar som många har varit beroende av för korrekt Internetåtkomst. Dessa servrar var ursprungligen en del av en bluff där en brottsring av estniska medborgare utvecklade och distribuerade ett malware-paket som heter DNSChanger, men som FBI grep och konverterade till en legitim DNS-tjänst.

denna malware bluff har varit utbredd nog att även tredjepartsföretag som Google och Facebook och ett antal Internetleverantörer som Comcast, COX, Verizon, och på&t har gått med i arbetet med att ta bort den genom att utfärda automatiska meddelanden till användare att deras system är konfigurerade med oseriösa DNS-nätverk.

varningen som visas högst upp i sökresultaten.
om du ser denna eller liknande varningar när du använder Google eller andra tjänster, var noga med att kontrollera ditt system för skadlig kod. CNET

om du nyligen har fått en varning när du utför en Google-sökning, surfar på Facebook eller på annat sätt använder webben som hävdar att ditt system kan äventyras, kan du överväga att ta några steg för att kontrollera ditt system för förekomst av skadlig kod. Detta kan göras på ett par sätt. Först kan du kontrollera DNS-inställningarna i ditt system för att se om servrarna som din dator använder är en del av rogue DNS-nätverket.

på Mac-system Öppna nätverkssysteminställningarna och för varje nättjänst (Wi-Fi, Ethernet, Bluetooth, etc.), välj tjänsten och klicka sedan på knappen ”Avancerat”. Följ detta genom att välja fliken ”DNS” och notera de listade DNS-servrarna. Du kan också göra detta i terminalen genom att först köra följande kommando:

DNS-inställningsplats i OS X
kontrollera den här platsen för alla nätverksanslutningar För att se DNS-konfigurationen i OS X (Klicka för större bild). Skärmdump av Topher Kessler/CNET

networksetup-listall networkservices

efter det här kommandot körs, kör sedan följande kommando på vart och ett av de listade namnen (var noga med att ta bort alla asterisker framför namnen och se till att namnen är i citat om det finns några mellanslag i dem):

networksetup-getdnsservers ”Service Name”

upprepa detta kommando för alla listade tjänster (särskilt Ethernet-och Wi-Fi-anslutningar) för att lista alla konfigurerade DNS-servrar.

på en Windows-maskin (inklusive någon av de som du kanske har installerat i en virtuell maskin) kan du öppna kommandoradsverktyget (välj ”Kör” från Start-menyn och ange ”cmd” eller i Windows 7 Välj ”alla program” och välj sedan kommandoraden från mappen tillbehör). På kommandoraden kör du följande kommando för att lista all information om nätverksgränssnittet, inklusive konfigurerade DNS-serverns IP-adresser:

Windows kommandorad som visar DNS-servrar
Windows DNS-serverinställningar för alla gränssnitt kan ses i kommandoraden (klicka för större bild). Skärmdump av Topher Kessler / CNET

ipconfig /all

när du har listat systemets DNS-servrar anger du dem på FBI: s DNS checker-webbsida för att se om de identifieras som en del av rogue DNS-nätverket. Förutom att manuellt leta upp och kontrollera dina DNS-inställningar, ett antal webbtjänster har dykt upp som kommer att testa ditt system för DNSChanger malware. DNSChanger Working Group har sammanställt en lista över många av dessa tjänster, som du kan använda för att testa ditt system (för dem i USA kan du gå till dns-ok.us för att testa din anslutning).

om dessa tester kommer upp ren, då har du inget att oroa sig; men om de ger dig några varningar, då kan du använda en anti-malware scanner för att söka efter och ta bort DNSChanger malware. Med tanke på att skadlig programvara plötsligt stoppades i November 2011 har det varit gott om tid för säkerhetsföretag att uppdatera sina anti-malware-definitioner för att inkludera alla varianter av DNSChanger. Om du har en malware scanner och har inte använt det nyligen, sedan se till att starta och uppdatera den helt, följt av att utföra en fullständig genomsökning av ditt system. Gör detta för varje PC och Mac i ditt nätverk, och dessutom se till att kontrollera routerns inställningar för att se om DNS-inställningarna finns lämpliga från din ISP eller är oseriösa DNS-inställningar.

om din router eller dator inte visar några giltiga DNS-serveradresser efter att du har tagit bort skadlig programvara och ditt system inte kan ansluta till Internettjänster kan du försöka konfigurera ditt system för att använda en offentlig DNS-tjänst, till exempel de från OpenDNS och Google, genom att ange följande IP-adresser i systemets nätverksinställningar:

8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220

om du efter måndag upptäcker att du inte längre kan komma åt Internet, är det troligt att ditt system eller nätverksrouter fortfarande är konfigurerat med de oseriösa DNS-servrarna och du måste återigen försöka upptäcka och ta bort skadlig programvara från dina system. Lyckligtvis malware är inte viral i naturen så det kommer inte själv propagera och automatiskt åter infektera system. Därför, när de har tagits bort och när användare har ställt in giltiga DNS-servrar på sina system, bör de drabbade datorerna ha rätt tillgång till Internet.

Bakgrund
DNS är ”Domain Name System”, som fungerar som Internets telefonbok och översätter mänskliga vänliga webbadresser som ”www.cnet.com” i sina respektive IP-adresser som datorer och routrar använder för att upprätta anslutningar. Eftersom DNS är gränssnittet mellan den typade webbadressen och den riktade servern skapade brottsringen sitt eget DNS-nätverk som till stor del skulle fungera normalt, men skulle också göra det möjligt för ringen att godtyckligt omdirigera trafiken för specifika webbadresser till falska webbplatser för att stjäla personlig information eller få folk att klicka på annonser.

ställa in rogue DNS-nätverket i sig är inte tillräckligt, eftersom detta nätverk måste anges i en dators inställningar för att kunna användas. För att få detta att hända skapade brottsringen DNSChanger malware (även kallad RSplug, Puper och Jahlav), som distribuerades som en trojansk häst och framgångsrikt infekterade miljontals PC-system över hela världen. En gång installerat, denna malware skulle kontinuerligt ändra DNS-inställningar för den drabbade datorn och även för nätverksroutrar, att peka på brottet ring rogue DNS-nätverk. Som ett resultat, även om människor manuellt ändrade sina dators DNS-inställningar, skulle dessa ändringar automatiskt återställas av skadlig programvara på sina system.

DNSChanger infection rate chart
sedan dess borttagning har antalet infekterade system minskat, även om tusentals över hela världen fortfarande är infekterade. DCWG

eftersom miljontals PC-användare hade smittats av denna malware, när brottsringen togs ner i en multilateral sting i November 2011 som heter Operation Ghost Click, beslutade FBI och andra myndigheter att stänga av det oseriösa DNS-nätverket eftersom detta omedelbart skulle ha förhindrat de infekterade systemen från att lösa webbadresser och därmed effektivt skulle ha stängt av Internet för dem. Istället hölls DNS-nätverket aktivt och konverterades till en legitim tjänst medan ansträngningar gjordes för att meddela användare av DNSChanger-skadlig programvara och vänta på att antalet globala infektioner skulle falla.

ursprungligen var rogue DNS-nätverket slated för stängning I mars i år; men medan infektionsgraden sjönk betydligt när brottsringen bröts upp, har antalet infekterade datorer varit relativt högt, så FBI förlängde tidsfristen till juli 9 (den kommande måndagen). Tyvärr, även när denna tidsfrist närmar sig, är tusentals PC-system över hela världen fortfarande infekterade med DNSChanger-skadlig programvara, och när servrarna stängs av kommer dessa system inte längre att kunna lösa webbadresser till IP-adresser.

Leave a Reply

Din e-postadress kommer inte publiceras.