miten tunnistaa ja korjata koneen tartunnan DNSChanger
heinäkuun 9. päivänä FBI sulkee DNS-palvelinten verkoston, jonka varassa monet ihmiset ovat olleet kunnollisen internetyhteyden varassa. Palvelimet olivat alun perin osa huijausta, jossa virolaisista koostuva rikollisrinki kehitti ja levitti DNSChanger-nimistä haittaohjelmapakettia, jonka FBI kuitenkin takavarikoi ja muutti lailliseksi DNS-palveluksi.
tämä haittaohjelmahuijaus on ollut niin laajalle levinnyt, että jopa kolmannen osapuolen yritykset, kuten Google ja Facebook sekä useat Internet-palveluntarjoajat, kuten Comcast, COX, Verizon ja AT&t, ovat liittyneet auttamaan sen poistamisessa antamalla käyttäjille automaattisia ilmoituksia siitä, että heidän järjestelmänsä on määritetty rogue DNS-verkon kanssa.
jos olet äskettäin saanut varoituksen tehdessäsi Google-hakua, selatessasi Facebookia tai muuten käyttäessäsi verkkoa, joka väittää järjestelmäsi olevan vaarassa, voit harkita muutaman askeleen ottamista tarkistaaksesi järjestelmäsi haittaohjelmiston esiintymisen. Tämä voidaan tehdä parilla tavalla. Ensin voit tarkistaa järjestelmän DNS-asetukset nähdäksesi, ovatko tietokoneen käyttämät palvelimet osa rogue DNS-verkkoa.
Mac-järjestelmissä avaa Verkkojärjestelmäasetukset ja jokaiselle verkkopalvelulle (Wi-Fi, Ethernet, Bluetooth jne.), valitse palvelu ja napsauta ”Advanced” – painiketta. Seuraa tätä valitsemalla” DNS ” välilehti ja huomioimalla DNS-palvelimet lueteltu. Voit tehdä tämän myös päätteessä ajamalla ensin seuraavan komennon:
networksetup-listallnetworkservices
kun tämä komento on suoritettu, suorita seuraava komento jokaiselle luetellulle nimelle (poista tähdellä nimet nimien edestä ja varmista, että nimet ovat lainausmerkeissä, jos niissä on välilyöntejä):
networksetup-getdnsservers ”service name”
toista tämä komento kaikille listatuille palveluille (erityisesti Ethernet-ja Wi-Fi-yhteydet) luetteloidaksesi kaikki määritetyt DNS-palvelimet.
Windows-koneessa (mukaan lukien kaikki virtuaalikoneeseen mahdollisesti asennetut) voit avata komentorivityökalun (valitse ”Suorita” Käynnistä-valikosta ja kirjoita ”cmd” tai Windows 7: ssä valitse ”Kaikki ohjelmat” ja valitse sitten Komentorivi Accessories-kansiosta). Suorita komentorivillä seuraava komento luetteloidaksesi kaikki verkkoliittymän tiedot, mukaan lukien määritetyt DNS-palvelimen IP-osoitteet:
ipconfig / all
kun olet listannut järjestelmäsi DNS-palvelimet, syötä ne FBI: n DNS-tarkistinsivulle nähdäksesi, tunnistetaanko ne osaksi rogue DNS-verkkoa. Lisäksi manuaalisesti etsiä ja tarkistaa DNS-asetukset, useita verkkopalvelut ovat piipahti joka testaa järjestelmän DNSChanger haittaohjelmia. DNSChanger työryhmä on koonnut luettelon monista näistä palveluista, jonka avulla voit testata järjestelmän (niille Yhdysvalloissa, voit mennä dns-ok.us testata yhteyttä).
jos nämä testit tulevat puhtaana, niin sinulla ei ole mitään hätää; kuitenkin, jos he antavat sinulle varoituksia, niin voit käyttää anti-malware skanneri tarkistaa ja poistaa DNSChanger haittaohjelmia. Ottaen huomioon, että haittaohjelma keskeytettiin äkillisesti marraskuussa 2011, siellä on ollut runsaasti aikaa tietoturvayritysten päivittää anti-malware määritelmät sisällyttää kaikki vaihtoehdot DNSChanger. Jos sinulla on haittaohjelmistoskanneri, etkä ole käyttänyt sitä äskettäin, muista käynnistää ja päivittää se kokonaan, minkä jälkeen suoritat järjestelmäsi täyden skannauksen. Tee tämä jokaisen tietokoneen ja Mac verkon, ja lisäksi muista tarkistaa reitittimen asetukset nähdä, jos DNS asetukset on oikea niistä ISP tai ovat rogue DNS asetukset.
jos reitittimessäsi tai tietokoneessasi ei ole kelvollisia DNS-palvelinosoitteita haittaohjelmiston poistamisen jälkeen, eikä järjestelmäsi pysty muodostamaan yhteyttä Internet-palveluihin, voit yrittää määrittää järjestelmäsi käyttämään julkista DNS-palvelua, kuten OpenDNS: n ja Googlen palveluja, syöttämällä seuraavat IP-osoitteet järjestelmäsi verkkoasetuksiin:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
jos maanantain jälkeen huomaat, ettet voi enää käyttää Internetiä, on todennäköistä, että järjestelmäsi tai verkkoreitittimesi on edelleen konfiguroitu rogue DNS-palvelimilla ja sinun täytyy jälleen yrittää havaita ja poistaa haittaohjelmisto järjestelmistäsi. Onneksi haittaohjelma ei ole luonteeltaan virus, joten se ei leviä itsestään ja tartuta järjestelmiä automaattisesti uudelleen. Siksi, kun poistettu ja kun käyttäjät ovat perustaneet voimassa DNS-palvelimet niiden järjestelmien, sitten vaikuttaa tietokoneiden pitäisi olla asianmukainen pääsy Internetiin.
Tausta
DNS on ”Verkkotunnusjärjestelmä”, joka toimii Internetin puhelinluettelon tavoin ja kääntää ihmisystävällisiä URL-osoitteita kuten ”www.cnet.com” omiin IP-osoitteisiinsa, joita tietokoneet ja reitittimet käyttävät yhteyksien luomiseen. Koska DNS on tyypitetyn URL-osoitteen ja kohdennetun palvelimen välinen liitäntä, rikollisrinki loi oman DNS-verkkonsa, joka suurelta osin toimisi normaalisti, mutta mahdollistaisi myös sen, että rinki voisi mielivaltaisesti ohjata tiettyjen URL-osoitteiden liikennettä väärennetyille verkkosivustoille henkilökohtaisten tietojen varastamiseksi tai ihmisten saamiseksi klikkaamaan mainoksia.
itse rogue DNS-verkon perustaminen ei riitä, sillä verkko on määriteltävä tietokoneen asetuksissa, jotta sitä voidaan käyttää. Jotta tämä tapahtuisi, rikos rengas luonut DNSChanger haittaohjelmia (kutsutaan myös RSplug, Puper, ja Jahlav), joka jaettiin Troijan hevonen ja onnistuneesti tartunnan miljoonia PC-järjestelmiä maailmanlaajuisesti. Asennettuna Tämä haittaohjelma muuttaisi jatkuvasti DNS-asetuksia kyseiselle tietokoneelle ja jopa verkon reitittimille, osoittaakseen rikollisringin rogue DNS-verkkoon. Tämän seurauksena, vaikka ihmiset muuttaisivat manuaalisesti tietokoneensa DNS-asetuksia, nämä muutokset palautuisivat automaattisesti heidän järjestelmissään olevan haittaohjelman avulla.
koska miljoonat PC-käyttäjät olivat saaneet tartunnan tästä haittaohjelmasta, kun rikollisrinki oli kaadettu marraskuussa 2011 monenvälisessä operaatiossa nimeltä operaatio Ghost Click, FBI ja muut hallituksen viranomaiset päättivät olla sammuttamatta rogue DNS-verkkoa, koska tämä olisi välittömästi estänyt tartunnan saaneita järjestelmiä ratkaisemasta URL-osoitteita, ja siten olisi tehokkaasti sulkenut Internetin heiltä. Sen sijaan DNS-verkko pidettiin aktiivisena ja muunnettiin lailliseksi palveluksi samalla kun pyrittiin ilmoittamaan käyttäjille DNSChanger-haittaohjelmasta ja odottamaan maailmanlaajuisten tartuntojen määrän putoamista.
alun perin rogue DNS-verkko määrättiin suljettavaksi tämän vuoden maaliskuussa; vaikka tartuntojen määrä laski merkittävästi rikollisringin hajottua, tartunnan saaneiden tietokoneiden määrä on pysynyt suhteellisen korkeana, joten FBI pidensi määräaikaa 9.heinäkuuta (tulevana maanantaina). Valitettavasti, vaikka tämä määräaika lähestyy, tuhannet PC-järjestelmä maailmanlaajuisesti ovat edelleen tartunnan DNSChanger haittaohjelmia, ja kun palvelimet sammutetaan nämä järjestelmät eivät enää pysty ratkaisemaan URL-osoitteita IP-osoitteita.