hogyan lehet felismerni és kijavítani a gép fertőzött DNSChanger
július 9-én az FBI bezárja a DNS-kiszolgálók hálózatát, amelytől sok ember függ a megfelelő Internet-hozzáférés érdekében. Ezek a szerverek eredetileg egy átverés részét képezték, ahol egy észt állampolgárokból álló bűnszervezet kifejlesztett és terjesztett egy DNSChanger nevű rosszindulatú csomagot, amelyet az FBI lefoglalt és törvényes DNS-szolgáltatássá alakított át.
ez a malware átverés már elterjedt elég, hogy még a harmadik fél cégek, mint a Google és a Facebook és számos ISP-k, mint a Comcast, COX, Verizon, és a& T csatlakozott az erőfeszítés, hogy segítsen eltávolítani a kibocsátó automatikus értesítések a felhasználók számára, hogy a rendszerek vannak beállítva a szélhámos DNS-hálózat.
ha nemrégiben figyelmeztetést kapott a Google-keresés végrehajtása, a Facebook böngészése vagy a Web más módon történő használata során, amely azt állítja, hogy a rendszere veszélybe kerülhet, akkor fontolóra veheti néhány lépés megtételét a rendszer rosszindulatú programok jelenlétének ellenőrzésére. Ezt meg lehet tenni egy pár módon. Először ellenőrizheti a rendszer DNS-beállításait, hogy a számítógép által használt kiszolgálók a szélhámos DNS-hálózat részét képezik-e.
Mac rendszereken nyissa meg a hálózati rendszerbeállításokat és az egyes hálózati szolgáltatásokat (Wi-Fi, Ethernet, Bluetooth stb.), válassza ki a szolgáltatást, majd kattintson a “Speciális” gombra. Kövesse ezt a “DNS” fül kiválasztásával, majd jegyezze fel a felsorolt DNS-kiszolgálókat. Ezt a terminálon is megteheti, ha először futtatja a következő parancsot:
networksetup-listallnetworkservices
a parancs futtatása után futtassa a következő parancsot a felsorolt nevek mindegyikén (feltétlenül távolítsa el a csillagokat a nevek elől, és győződjön meg róla, hogy a nevek idézőjelben vannak, ha vannak szóközök):
networksetup-getdnsservers “szolgáltatás neve”
ismételje meg ezt a parancsot az összes felsorolt szolgáltatáshoz (különösen az Ethernet és a wi-fi kapcsolatokhoz) az összes konfigurált DNS-kiszolgáló felsorolásához.
Windows gépen (beleértve a virtuális gépbe telepítetteket is) megnyithatja a parancssori eszközt (válassza a “Futtatás” lehetőséget a Start menüből, írja be a “cmd” parancsot, vagy Windows 7 rendszerben válassza az “összes program” lehetőséget, majd válassza a parancssort a Kellékek mappából). A parancssorban futtassa a következő parancsot a hálózati interfész összes információjának felsorolásához, beleértve a konfigurált DNS-kiszolgáló IP-címeit is:
ipconfig /all
miután felsorolta a rendszer DNS-kiszolgálóit, írja be őket az FBI DNS-ellenőrző weboldalára, hogy lássa, azonosítják-e őket a szélhámos DNS-hálózat részeként. Amellett, hogy manuálisan keresi fel és ellenőrzi a DNS-beállításokat, számos webszolgáltatások bukkant fel, hogy tesztelni fogja a rendszert a DNSChanger malware. A DNSChanger Munkacsoport összeállította ezeknek a szolgáltatásoknak a listáját, amelyeket felhasználhat a rendszer tesztelésére (az Egyesült Államokban élők számára dns-ok.us a kapcsolat teszteléséhez).
ha ezek a tesztek jönnek tiszta, akkor nem kell aggódni; azonban, ha kapsz bármilyen figyelmeztetést, akkor egy anti-malware kutató, hogy ellenőrizze, és távolítsa el a DNSChanger malware. Tekintettel arra, hogy a rosszindulatú programokat 2011 novemberében hirtelen leállították, elegendő idő állt rendelkezésre a biztonsági vállalatok számára, hogy frissítsék a rosszindulatú programok elleni definícióikat a DNSChanger összes változatának bevonásával. Ha van egy malware szkenner, és nem használta a közelmúltban, akkor győződjön meg róla, hogy indítsa el, és frissítse teljesen, majd teljesítő Teljes vizsgálat a rendszer. Tegye ezt a hálózat minden PC-jére és Mac-jére, emellett ellenőrizze az útválasztó beállításait, hogy a DNS-beállítások megfelelőek-e az internetszolgáltatótól, vagy szélhámos DNS-beállítások.
ha az útválasztó vagy a számítógép a kártevő eltávolítása után nem mutat érvényes DNS-kiszolgálói címet, és a rendszer nem tud csatlakozni az internetes szolgáltatásokhoz, akkor megpróbálhatja beállítani a rendszert egy nyilvános DNS-szolgáltatás, például az OpenDNS vagy a Google szolgáltatás használatára, az alábbi IP-címek megadásával a rendszer hálózati beállításaiban:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
ha hétfő után úgy találja, hogy már nem tud hozzáférni az internethez, akkor valószínűleg a rendszer vagy a hálózati útválasztó továbbra is konfigurálva van a szélhámos DNS-kiszolgálókkal, és újra meg kell próbálnia észlelni és eltávolítani a rosszindulatú programokat a rendszerekről. Szerencsére a malware nem vírusos jellegű, így nem önterjesztő és automatikusan újra megfertőzni rendszerek. Ezért, miután eltávolították, és miután a felhasználók érvényes DNS-kiszolgálókat állítottak be a rendszerükön, akkor az érintett számítógépeknek megfelelő hozzáféréssel kell rendelkezniük az internethez.
háttér
a DNS A “Domain Name System”, amely úgy működik, mint az Internet telefonkönyve, és lefordítja az emberbarát URL-eket, mint például “www.cnet.com” a megfelelő IP-címekbe, amelyeket a számítógépek és az útválasztók a kapcsolatok létrehozásához használnak. Mivel a DNS a gépelt URL és a megcélzott szerver közötti interfész, a bűnügyi gyűrű létrehozta saját DNS-hálózatát, amely nagyrészt normálisan működne, de lehetővé tenné a gyűrű számára, hogy önkényesen átirányítsa az adott URL-ek forgalmát hamis webhelyekre személyes adatok ellopása vagy az emberek hirdetésekre való kattintása céljából.
maga a szélhámos DNS-hálózat beállítása nem elegendő, mivel ezt a hálózatot a számítógép beállításaiban meg kell adni ahhoz, hogy használni lehessen. Hogy ez megtörténjen, a bűnszervezet létrehozta a DNSChanger malware-t (más néven RSplug, Puper és Jahlav), amelyet trójai falóként terjesztettek, és sikeresen megfertőzték a PC-rendszerek millióit világszerte. A telepítés után ez a rosszindulatú program folyamatosan megváltoztatja az érintett számítógép, sőt a hálózati útválasztók DNS-beállításait, hogy a bűnügyi gyűrű szélhámos DNS-hálózatára mutasson. Ennek eredményeként, még akkor is, ha az emberek manuálisan megváltoztatták számítógépük DNS-beállításait, ezeket a változásokat a rendszerükön lévő rosszindulatú programok automatikusan visszaállítják.
mivel PC-felhasználók millióit fertőzte meg ez a malware, miután a bűnszervezetet egy 2011.novemberi többoldalú akció során felszámolták, az Operation Ghost Click néven, az FBI és más kormányzati hatóságok úgy döntöttek, hogy nem kapcsolják ki a szélhámos DNS-hálózatot, mivel ez azonnal megakadályozta volna a fertőzött rendszereket az URL-ek feloldásában, és ezáltal hatékonyan leállította volna az internetet számukra. Ehelyett a DNS-hálózat aktív maradt, és törvényes szolgáltatássá vált, miközben erőfeszítéseket tettek a felhasználók értesítésére a DNSChanger malware-ről, és megvárják, amíg a világméretű fertőzések száma csökken.
kezdetben a szélhámos DNS-hálózatot ez év márciusában tervezték bezárni; bár a bűnözői kör felbomlása után a fertőzések aránya jelentősen csökkent, a fertőzött számítógépek száma viszonylag magas maradt, ezért az FBI meghosszabbította a határidőt július 9-ig (ez a közelgő Hétfő). Sajnos, még a határidő közeledtével is, világszerte több ezer PC-rendszer fertőződik meg a DNSChanger malware-rel, és amikor a szerverek leállnak, ezek a rendszerek már nem lesznek képesek az URL-ek IP-címekre történő feloldására.