Πώς να ανιχνεύσετε και να διορθώσετε ένα μηχάνημα που έχει μολυνθεί με DNSChanger

Στις 9 Ιουλίου, το FBI θα κλείσει ένα δίκτυο διακομιστών DNS, για το οποίο πολλοί άνθρωποι εξαρτώνται από την κατάλληλη πρόσβαση στο Internet. Αυτοί οι διακομιστές ήταν αρχικά μέρος μιας απάτης όπου ένα δαχτυλίδι εγκληματικότητας Εσθονών υπηκόων ανέπτυξε και διέθεσε ένα πακέτο malware που ονομάζεται DNSChanger, αλλά το οποίο το FBI κατασχέθηκε και μετατράπηκε σε νόμιμη υπηρεσία DNS.

Αυτή η απάτη κακόβουλου λογισμικού ήταν αρκετά διαδεδομένη ώστε ακόμη και τρίτες εταιρείες όπως το Google και το Facebook και αρκετοί ISP, όπως η Comcast, η COX, η Verizon και η AT & T, εντάχθηκαν στην προσπάθεια να βοηθήσουν στην κατάργησή τους με την έκδοση αυτόματων ειδοποιήσεων προς τους χρήστες ότι τα συστήματά τους έχει ρυθμιστεί με το δίκτυο DNS.

Εάν λάβατε πρόσφατα μια προειδοποίηση κατά την εκτέλεση μιας αναζήτησης στο Google, την περιήγηση στο Facebook ή τη χρήση του ιστού που ενδέχεται να υπονομεύσει το σύστημά σας, τότε ίσως να λάβετε λίγα βήματα για να ελέγξετε το σύστημά σας για την παρουσία του κακόβουλου λογισμικού. Αυτό μπορεί να γίνει με μερικούς τρόπους. Πρώτα μπορείτε να ελέγξετε τις ρυθμίσεις DNS στο σύστημά σας για να δείτε αν οι διακομιστές που χρησιμοποιεί ο υπολογιστής σας είναι μέρος του δικτύου DNS.

Σε συστήματα Mac ανοίξτε τις προτιμήσεις συστήματος δικτύου και για κάθε υπηρεσία δικτύου (Wi-Fi, Ethernet, Bluetooth κ.λπ.), επιλέξτε την υπηρεσία και, στη συνέχεια, κάντε κλικ στο κουμπί "Για προχωρημένους". Ακολουθήστε αυτό επιλέγοντας την καρτέλα "DNS" και σημειώνοντας τους καταχωρημένους διακομιστές DNS. Μπορείτε επίσης να το κάνετε αυτό στο Terminal εκτελώντας πρώτα την ακόλουθη εντολή:

networksetup -λειτουργίες δικτύου

Μετά την εκτέλεση αυτής της εντολής, εκτελέστε την επόμενη εντολή σε κάθε ένα από τα αναφερόμενα ονόματα (φροντίστε να αφαιρέσετε τους αστερίσκους μπροστά από τα ονόματα και βεβαιωθείτε ότι τα ονόματα είναι σε εισαγωγικά αν υπάρχουν κενά μέσα σε αυτά):

networksetup -getdnsservers "NAME SERVICE"

Επαναλάβετε αυτήν την εντολή για όλες τις καταχωρημένες υπηρεσίες (Ειδικά συνδέσεις Ethernet και Wi-Fi) για να καταχωρίσετε όλους τους διαμορφωμένους διακομιστές DNS.

Σε ένα μηχάνημα των Windows, μπορείτε να ανοίξετε το εργαλείο γραμμής εντολών (επιλέξτε "Εκτέλεση" από το μενού Έναρξη και πληκτρολογήστε "cmd" ή στα Windows 7 επιλέξτε "Όλα τα προγράμματα "και, στη συνέχεια, επιλέξτε τη γραμμή εντολών από το φάκελο" Αξεσουάρ "). Στη γραμμή εντολών, εκτελέστε την ακόλουθη εντολή για να εμφανίσετε όλες τις πληροφορίες διεπαφής δικτύου, συμπεριλαμβανομένων των διευθετημένων διευθύνσεων IP διακομιστή DNS:

ipconfig / όλα

Μόλις καταχωρηθούν οι διακομιστές DNS του συστήματός σας, καταχωρίστε τις στην ιστοσελίδα ελέγχου του διακομιστή DNS του FBI για να δείτε εάν είναι αναγνωρισμένες ως μέρος του δικτύου DNS. Εκτός από την αυτόματη αναζήτηση και τον έλεγχο των ρυθμίσεων DNS σας, έχουν εμφανιστεί διάφορες υπηρεσίες Web που θα ελέγξουν το σύστημά σας για το κακόβουλο λογισμικό DNSChanger. Η ομάδα εργασίας DNSChanger έχει καταρτίσει μια λίστα με πολλές από αυτές τις υπηρεσίες, τις οποίες μπορείτε να χρησιμοποιήσετε για να ελέγξετε το σύστημά σας (για εκείνες στις ΗΠΑ, μπορείτε να πάτε στο dns-ok.us για να ελέγξετε τη σύνδεσή σας).

Αν αυτές οι δοκιμές καταλήξουν καθαρά, τότε δεν έχετε τίποτα να ανησυχείτε. Ωστόσο, εάν σας δώσουν τυχόν προειδοποιήσεις, τότε μπορείτε να χρησιμοποιήσετε έναν σαρωτή κατά του κακόβουλου λογισμικού για να ελέγξετε και να αφαιρέσετε το κακόβουλο λογισμικό DNSChanger. Δεδομένου ότι το κακόβουλο λογισμικό σταματήθηκε απότομα τον Νοέμβριο του 2011, υπάρχει αρκετός χρόνος για τις εταιρείες ασφάλειας να ενημερώσουν τους ορισμούς τους σχετικά με τον κακόβουλο λογισμικό ώστε να συμπεριλάβουν όλες τις παραλλαγές του DNSChanger. Εάν διαθέτετε σαρωτή κακόβουλου λογισμικού και δεν τον χρησιμοποιήσατε πρόσφατα, φροντίστε να το ξεκινήσετε και να τον ενημερώσετε πλήρως, ακολουθώντας την πλήρη σάρωση του συστήματός σας. Κάνετε αυτό για κάθε υπολογιστή και Mac στο δίκτυό σας και, επιπλέον, βεβαιωθείτε ότι έχετε ελέγξει τις ρυθμίσεις του δρομολογητή σας για να δείτε αν οι ρυθμίσεις DNS υπάρχουν σωστές από τον ISP σας ή είναι απατεώνες ρυθμίσεις DNS.

Αν ο δρομολογητής ή ο υπολογιστής σας δεν εμφανίζει έγκυρες διευθύνσεις διακομιστή DNS μετά την κατάργηση του κακόβουλου λογισμικού και το σύστημά σας δεν είναι σε θέση να συνδεθεί με υπηρεσίες Internet, τότε ίσως προσπαθήσετε να ρυθμίσετε το σύστημά σας ώστε να χρησιμοποιεί μια δημόσια υπηρεσία DNS, όπως αυτή από το OpenDNS και το Google, εισάγοντας τις ακόλουθες διευθύνσεις IP στις ρυθμίσεις δικτύου του συστήματός σας:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Εάν μετά τη Δευτέρα διαπιστώσετε ότι δεν μπορείτε πλέον να έχετε πρόσβαση στο Internet, τότε είναι πιθανό ο δρομολογητής του συστήματός σας ή του δικτύου σας να είναι ακόμα ρυθμισμένος με τους λανθασμένους διακομιστές DNS και θα πρέπει να προσπαθήσετε ξανά να ανιχνεύσετε και να αφαιρέσετε το κακόβουλο λογισμικό από τα συστήματά σας. Ευτυχώς, το κακόβουλο λογισμικό δεν είναι ιογενές ως προς τη φύση, επομένως δεν πρόκειται να αυτοπροστατευθεί και να επανα-μολύνει αυτόματα τα συστήματα. Επομένως, μόλις αφαιρεθεί και αφού οι χρήστες έχουν δημιουργήσει έγκυρους διακομιστές DNS στα συστήματά τους, τότε οι υπολογιστές που έχουν προσβληθεί πρέπει να έχουν κατάλληλη πρόσβαση στο Internet.

Σχετικές ιστορίες

  • Το FBI αντιμετωπίζει την απάτη malware του DNSChanger
  • Λειτουργία Ghost Κάντε κλικ στους διακομιστές DNS για να παραμείνετε συνδεδεμένοι μέχρι τον Ιούλιο
  • Ο Ιστό θα μπορούσε να εξαφανιστεί για ορδές ανθρώπων τον Ιούλιο, προειδοποιεί το FBI
  • Η Google θα ειδοποιήσει τους χρήστες για τη μόλυνση DNSChanger από κακόβουλο λογισμικό
  • Η νέα διαδρομή Trojan Trojan DNSChanger στοχεύει τους δρομολογητές

Ιστορικό

Το DNS είναι το "Domain Name System", το οποίο λειτουργεί σαν τον τηλεφωνικό κατάλογο του Διαδικτύου και μεταφράζει φιλικές προς τον άνθρωπο διευθύνσεις URL όπως "www.cnet.com" στις αντίστοιχες διευθύνσεις IP που χρησιμοποιούν οι υπολογιστές και οι δρομολογητές για τη δημιουργία συνδέσεων. Δεδομένου ότι το DNS είναι η διασύνδεση μεταξύ της πληκτρολογημένης διεύθυνσης URL και του στοχευμένου διακομιστή, ο δακτύλιος του εγκλήματος δημιούργησε το δικό του δίκτυο DNS το οποίο θα λειτουργούσε σε μεγάλο βαθμό κανονικά, αλλά θα επέτρεπε επίσης στο δακτύλιο να ανακατευθύνει αυθαίρετα την επισκεψιμότητα για συγκεκριμένες διευθύνσεις URL σε πλαστές τοποθεσίες Web για κλοπή προσωπικών πληροφοριών ή για να κάνουν οι χρήστες να κάνουν κλικ σε διαφημίσεις.

Δεν είναι αρκετή η εγκατάσταση του ίδιου του δικτύου DNS, επειδή αυτό το δίκτυο πρέπει να καθοριστεί στις ρυθμίσεις ενός υπολογιστή για να χρησιμοποιηθεί. Για να γίνει αυτό, το δαχτυλίδι εγκλήματος δημιούργησε το κακόβουλο λογισμικό DNSChanger (που αναφέρεται επίσης ως RSplug, Puper, και Jahlav), το οποίο διανεμήθηκε ως άλογο trojan και μολύνει με επιτυχία εκατομμύρια συστήματα PC παγκοσμίως. Μόλις εγκατασταθεί, αυτό το κακόβουλο λογισμικό θα αλλάζει συνεχώς τις ρυθμίσεις DNS για τον πληττόμενο υπολογιστή και ακόμη και για τους δρομολογητές δικτύου, για να δείξει το δίκτυο DNS του κλεψίματος του εγκλήματος. Ως αποτέλεσμα, ακόμα και αν οι χρήστες άλλαξαν χειροκίνητα τις ρυθμίσεις DNS των υπολογιστών τους, αυτές οι αλλαγές θα επανέλθουν αυτόματα από το κακόβουλο λογισμικό στα συστήματά τους.

Δεδομένου ότι εκατομμύρια χρήστες υπολογιστών είχαν μολυνθεί από αυτό το κακόβουλο λογισμικό, όταν ο δακτύλιος του εγκλήματος καταρρίφθηκε σε ένα πολυμερές τσίμπημα που ονομάζεται Operation Ghost Click τον Νοέμβριο του 2011, το FBI και άλλες κυβερνητικές αρχές αποφάσισαν να μην σβήσουν το ανούσιο δίκτυο DNS, τα μολυσμένα συστήματα από την επίλυση διευθύνσεων URL και συνεπώς θα είχαν κλείσει αποτελεσματικά το Διαδίκτυο για αυτούς. Αντίθετα, το δίκτυο DNS διατηρήθηκε ενεργό και μετατράπηκε σε νόμιμη υπηρεσία, ενώ καταβλήθηκαν προσπάθειες για την ενημέρωση των χρηστών σχετικά με το κακόβουλο λογισμικό DNSChanger και αναμονή για πτώση του αριθμού των μολύνσεων παγκοσμίως.

Αρχικά, το δίκτυο DNS απατεωνόταν για το κλείσιμο τον Μάρτιο του τρέχοντος έτους. Ωστόσο, ενώ ο ρυθμός των λοιμώξεων μειώθηκε σημαντικά μετά τη διάλυση του δακτυλίου του εγκλήματος, ο αριθμός των μολυσμένων υπολογιστών παρέμεινε σχετικά υψηλός, οπότε το FBI επέκτεινε την προθεσμία μέχρι τις 9 Ιουλίου (την προσεχή Δευτέρα). Δυστυχώς, ακόμα και όταν πλησιάσει αυτή η προθεσμία, χιλιάδες συστήματα Η / Υ παγκοσμίως εξακολουθούν να μολύνονται με το κακόβουλο λογισμικό DNSChanger και όταν οι διακομιστές κλείσουν αυτά τα συστήματα δεν θα είναι πλέον σε θέση να επιλύσουν διευθύνσεις URL σε διευθύνσεις IP.


 

Αφήστε Το Σχόλιό Σας