Como detectar e corrigir uma máquina de infectados com o DNSChanger

Em 9 de julho, o FBI vai encerrar uma rede de servidores de DNS que muitas pessoas têm sido dependendo adequada para acesso à Internet. Esses servidores eram originalmente parte de um golpe em que um círculo criminal de cidadãos estonianos desenvolveu e distribuiu um pacote de malware chamado DNSChanger, mas que o FBI apreendeu e converteu em um serviço DNS legítimo.

Este malware golpe tem sido difundida o suficiente para que até mesmo empresas de terceiros, como Google e Facebook e um número de ISPs, como a Comcast, COX, Verizon, e EM&T juntaram-se no esforço para ajudar a removê-lo através da emissão de notificações automáticas para utilizadores de que os seus sistemas estão configurados com o malandro rede DNS.

o aviso que aparecerá no topo dos resultados da pesquisa.
se você vir este ou avisos semelhantes ao usar o Google ou outros serviços, verifique se há malware no seu sistema. CNET

se você recebeu recentemente um aviso ao realizar uma pesquisa no Google, navegar no Facebook ou usar a Web que afirma que seu sistema pode estar comprometido, considere tomar algumas medidas para verificar o seu sistema quanto à presença do malware. Isso pode ser feito de algumas maneiras. Primeiro, você pode verificar as configurações de DNS em seu sistema para ver se os servidores que seu computador está usando fazem parte da rede DNS desonesta.

em sistemas Mac abra as preferências do sistema de rede e para cada serviço de rede (Wi-Fi, Ethernet, Bluetooth, etc.), selecione o serviço e clique no botão “Avançado”. Siga isso selecionando a guia ” DNS ” e anotando os servidores DNS listados. Você também pode fazer isso no Terminal executando primeiro o seguinte comando:

localização de configurações de DNS no OS X
verifique este local para todas as conexões de rede para ver a configuração de DNS no OS X (Clique para ver mais). Imagem por Topher Kessler/CNET

networksetup -listallnetworkservices

Após este comando é executado, em seguida execute o seguinte comando em cada um dos listados nomes (certifique-se de remover qualquer asteriscos na frente dos nomes, e garantir que os nomes estão em aspas se houver espaços):

networksetup -getdnsservers “NOME do SERVIÇO”

Repita este comando para todos os serviços listados (Especialmente Ethernet e Wi-Fi) para listar todos os servidores DNS configurados.

em uma máquina Windows (incluindo qualquer uma delas que você possa ter instalado em uma máquina virtual), você pode abrir a ferramenta de linha de comando (selecione “Executar” no menu Iniciar e digite “cmd” ou no Windows 7 Selecione “Todos os programas” e escolha a linha de comando na pasta Acessórios). Na linha de comando, execute o seguinte comando para listar todas as informações da interface de rede, incluindo endereços IP do servidor DNS configurado:

linha de comando do Windows mostrando servidores DNS
as configurações do servidor DNS do Windows para todas as interfaces podem ser vistas em sua linha de comando (clique para visualização maior). Captura de tela por Topher Kessler / CNET

ipconfig / all

depois de ter os servidores DNS do seu sistema listados, insira-os na página da web do verificador de DNS do FBI para ver se eles são identificados como parte da rede DNS desonesta. Além de procurar manualmente e verificar suas configurações de DNS, surgiram vários serviços da Web que testarão seu sistema para o malware DNSChanger. O grupo de trabalho DNSChanger compilou uma lista de muitos desses serviços, que você pode usar para testar seu sistema (para aqueles nos EUA, você pode ir para dns-ok.us para testar sua conexão).

se esses testes forem limpos, você não terá nada com que se preocupar; no entanto, se eles fornecerem algum aviso, você poderá usar um scanner anti-malware para verificar e remover o malware DNSChanger. Dado que o malware foi interrompido abruptamente em novembro de 2011, houve tempo suficiente para as empresas de segurança atualizarem suas definições Anti-malware para incluir todas as variantes do DNSChanger. Se você tem um scanner de malware e não o usou recentemente, certifique-se de iniciá-lo e atualizá-lo totalmente, seguido de realizar uma verificação completa do seu sistema. Faça isso para cada PC e Mac em sua rede e, além disso, verifique as configurações do seu roteador para ver se as configurações de DNS existem as adequadas do seu ISP ou se são configurações de DNS desonestos.

Se o seu roteador ou computador não mostrar nenhuma válido endereços de servidor DNS depois de ter removido o malware, e o sistema é incapaz de conectar-se a serviços de Internet, você pode tentar configurar o seu sistema para usar um serviço de DNS público, tais como os do OpenDNS e Google, digitando os seguintes endereços IP em seu sistema, configurações de rede do:

8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220

se depois de segunda-feira você achar que não pode mais acessar a Internet, é provável que seu sistema ou roteador de rede ainda esteja configurado com os servidores DNS desonestos e você precisará tentar novamente detectar e remover o malware de seus sistemas. Felizmente, o malware não é de natureza viral, por isso não se autopropagará e infectará automaticamente os sistemas. Portanto, uma vez removidos e uma vez que os usuários tenham configurado servidores DNS válidos em seus sistemas, os computadores afetados devem ter acesso adequado à Internet.

Background
DNS é o “sistema de nomes de domínio”, que atua como a lista telefônica da Internet e traduz URLs amigáveis ao homem, como “www.cnet.com” em seus respectivos endereços IP que computadores e roteadores usam para estabelecer conexões. Desde que o DNS é a interface entre o URL digitado e o servidor de destino, o crime ring criou a sua própria rede DNS, que seria, em grande parte, funcionam normalmente, mas também permitiria que o anel arbitrariamente de redirecionar o tráfego para URLs específicas para sites falsos para fins de roubar informações pessoais, ou fazer com que as pessoas clicam nos anúncios.

configurar a própria rede DNS desonesta não é suficiente, pois essa rede precisa ser especificada nas configurações de um computador para ser usada. Para fazer isso acontecer, o crime ring criou o malware DNSChanger (também conhecido como RSplug, Puper e Jahlav), que foi distribuído como um cavalo de Tróia e infectou com sucesso milhões de sistemas de PC em todo o mundo. Uma vez instalado, esse malware alteraria continuamente as configurações de DNS para o computador afetado e até mesmo para roteadores de rede, para apontar para a rede DNS desonesta do crime ring. Como resultado, mesmo que as pessoas alterassem manualmente as configurações de DNS de seus computadores, essas alterações seriam revertidas automaticamente pelo malware em seus sistemas.

 gráfico da taxa de infecção do DNSChanger
desde sua queda, o número de sistemas infectados diminuiu, embora milhares em todo o mundo ainda estejam infectados. DCWG

Desde que milhões de usuários de PC tinha sido infectado por este malware, uma vez que o crime anel foi retirado em novembro de 2011 multilaterais picada chamado de Operação do Espírito Clique, o FBI e outras autoridades do governo decidiu não desligar o malandro rede DNS como este, seria instantaneamente impediu que os sistemas infectados a partir de resolver URLs, e, assim, teria efetivamente desligar a Internet para eles. Em vez disso, a rede DNS foi mantida ativa e convertida em um serviço legítimo, enquanto foram feitos esforços para notificar os usuários do malware DNSChanger e aguardar a queda do número de infecções em todo o mundo.Inicialmente, a rede DNS desonesta estava programada para ser fechada em março deste ano; no entanto, enquanto a taxa de infecções caiu significativamente quando o anel do crime foi quebrado, o número de computadores infectados permaneceu relativamente alto, então o FBI estendeu o prazo para 9 de julho (na próxima segunda-feira). Infelizmente, mesmo quando esse prazo se aproxima, milhares de sistemas de PC em todo o mundo ainda estão infectados com o malware DNSChanger e, quando os servidores são desligados, esses sistemas não poderão mais resolver URLs para endereços IP.

Leave a Reply

O seu endereço de email não será publicado.