Kako otkriti i popraviti stroj zaražen DNSChanger-om

9. srpnja FBI će zatvoriti mrežu DNS poslužitelja na koju su mnogi ljudi ovisili za pravilan pristup internetu. Ti su poslužitelji izvorno bili dio prijevare u kojoj je kriminalni krug estonskih državljana razvio i distribuirao paket zlonamjernih programa pod nazivom DNSChanger, ali koji je FBI zaplijenio i pretvorio u legitimnu DNS uslugu.

Ova prijevara zlonamjernog softvera je bila dovoljno raširena da su se i tvrtke treće strane, kao što su Google i Facebook, te brojni ISP-ovi poput Comcasta, COX-a, Verizona i AT&T-a pridružili naporima da se pomogne uklanjanju istih putem automatskih obavijesti korisnicima da su njihovi sustavi konfiguriran s skitnicom DNS mreže.

Ako ste nedavno primili upozorenje prilikom vršenja Google pretraživanja, pregledavanja Facebooka ili na neki drugi način koristite web koji tvrdi da je vaš sustav ugrožen, razmislite o poduzimanju nekoliko koraka kako biste provjerili prisutnost zlonamjernog softvera na vašem sustavu. To se može učiniti na nekoliko načina. Prvo možete provjeriti DNS postavke u vašem sustavu da biste vidjeli jesu li poslužitelji koje računalo koristi dio skrivene DNS mreže.

Na Mac sustavima otvorite postavke mrežnog sustava i za svaku mrežnu uslugu (Wi-Fi, Ethernet, Bluetooth, itd.) Odaberite uslugu i kliknite gumb "Napredno". Slijedite ovo odabirom kartice "DNS" i zabilježite popis DNS poslužitelja. To možete učiniti i na terminalu tako da prvo pokrenete sljedeću naredbu:

networketup -listallnetworkservices

Nakon pokretanja ove naredbe, pokrenite sljedeću naredbu na svakom od navedenih imena (svakako uklonite sve zvjezdice ispred imena i uvjerite se da su imena u navodnicima ako u njima ima razmaka):

networksetup -getdnsservers "SERVICE NAME"

Ponovite ovu naredbu za sve navedene usluge (posebno Ethernet i Wi-Fi veze) da biste popisali sve konfigurirane DNS poslužitelje.

Na računalu sa sustavom Windows (uključujući one koje ste možda instalirali na virtualnom računalu) možete otvoriti alat naredbenog retka (odaberite "Pokreni" u izborniku Start i upišite "cmd" ili u Windows 7 odaberite "Svi programi" ", a zatim odaberite naredbeni redak iz mape Dodaci). U naredbenom retku pokrenite sljedeću naredbu za popis svih informacija o mrežnom sučelju, uključujući konfigurirane IP adrese DNS poslužitelja:

ipconfig / all

Nakon što ste naveli DNS poslužitelje vašeg sustava, unesite ih u web stranicu FBI DNS provjere kako biste vidjeli jesu li identificirani kao dio skrivene DNS mreže. Uz ručno traženje i provjeru vaših DNS postavki, pojavile su se brojne web-usluge koje će testirati vaš sustav za zlonamjerni softver DNSChanger. Radna skupina DNSChanger sastavila je popis mnogih od ovih usluga, koje možete koristiti za testiranje vašeg sustava (za one u SAD-u možete posjetiti dns-ok.us kako biste testirali svoju vezu).

Ako ti testovi budu čisti, onda nemaš o čemu brinuti; Međutim, ako vam daju bilo kakva upozorenja, možete koristiti anti-malware skener za provjeru i uklanjanje zlonamjernog softvera DNSChanger. S obzirom da je zlonamjerni softver naglo obustavljen u studenom 2011., sigurnosnim je tvrtkama bilo dovoljno vremena da ažuriraju svoje definicije protiv zlonamjernih programa kako bi uključile sve varijante DNSChanger. Ako imate skener zlonamjernih programa i niste ga nedavno koristili, svakako ga pokrenite i ažurirajte u potpunosti, nakon čega slijedite potpuno skeniranje sustava. Učinite to za svako računalo i Mac na vašoj mreži, a osim toga provjerite postavke routera da biste vidjeli jesu li DNS postavke ispravne od vašeg ISP-a ili su skrivene DNS postavke.

Ako vaš usmjerivač ili računalo ne prikazuju valjane adrese DNS poslužitelja nakon što uklonite zlonamjerni softver, a sustav se ne može povezati s internetskim uslugama, možda ćete pokušati konfigurirati sustav da koristi javnu DNS uslugu, kao što su one iz OpenDNS-a i Google, unosom sljedećih IP adresa u mrežne postavke sustava:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Ako nakon ponedjeljka otkrijete da više ne možete pristupiti Internetu, vjerojatno je vaš sustav ili mrežni usmjerivač još uvijek konfiguriran s nepoštenim DNS poslužiteljima i morat ćete ponovno pokušati otkriti i ukloniti zlonamjerni softver s vaših sustava. Srećom, zlonamjerni softver u prirodi nije virusan pa se neće samopromijeniti i automatski ponovno zaraziti sustave. Stoga, nakon uklanjanja i postavljanja valjanih DNS poslužitelja na svoje sustave, dotična računala trebala bi imati pravilan pristup Internetu.

Povezane priče

  • FBI se bavi DNSChanger-om
  • Operacija Ghost Kliknite DNS poslužitelje da ostanu online do srpnja
  • Web bi mogao nestati za horde ljudi u srpnju, upozorava FBI
  • Google će upozoriti korisnike na infekciju zlonamjernim softverom DNSChanger
  • Novi DNSChanger Trojan varijanta ciljeva usmjerivača

pozadina

DNS je "Domain Name System", koji djeluje kao internetski telefonski imenik i prevodi URL-ove koji su prikladni za čovjeka, kao što je "www.cnet.com" u njihove odgovarajuće IP adrese koje računala i usmjerivači koriste za uspostavljanje veza. Budući da je DNS sučelje između upisanog URL-a i ciljanog poslužitelja, krug zločina stvorio je vlastitu DNS mrežu koja bi u velikoj mjeri funkcionirala normalno, ali bi također omogućila da prsten proizvoljno preusmjeri promet za određene URL-ove na lažna web-mjesta za svrhe krađe osobnih podataka ili navođenja ljudi da kliknu na oglase.

Postavljanje same skrivene DNS mreže nije dovoljno, jer se ta mreža mora specificirati u postavkama računala kako bi se mogla koristiti. Da bi se to dogodilo, kriminalni prsten stvorio je zlonamjerni softver DNSChanger (nazvan i RSplug, Puper i Jahlav), koji je distribuiran kao trojanski konj i uspješno zarazio milijune PC sustava širom svijeta. Jednom instaliran, ovaj će zlonamjerni softver neprestano mijenjati DNS postavke za dotično računalo, pa čak i za mrežne usmjerivače, kako bi ukazao na zlonamjernu DNS mrežu kriminala. Kao rezultat toga, čak i ako su ljudi ručno promijenili DNS postavke računala, te bi promjene automatski vratile zlonamjerni softver na svojim sustavima.

Budući da su milijuni korisnika računala bili zaraženi ovim zlonamjernim softverom, nakon što je zločin u rujnu uklonjen u multilateralnom stilu iz studenoga 2011. pod nazivom Operacija Ghost Click, FBI i druge vladine vlasti odlučile su da ne isključe nepoštenu DNS mrežu jer bi se to odmah spriječilo da zaraženi sustavi ne rješavaju URL-ove, a time bi ih učinkovito zatvorili. Umjesto toga, DNS mreža je ostala aktivna i pretvorena u legitimnu uslugu dok su uloženi napori kako bi se obavijestili korisnike o zlonamjernom softveru DNSChanger i čekali da broj svjetskih infekcija padne.

U početku je skrivena DNS mreža trebala biti zatvorena u ožujku ove godine; Međutim, dok je stopa infekcija značajno opala nakon što je zločin u kriminalu razbijen, broj zaraženih računala ostao je relativno visok, tako da je FBI produljio rok do 9. srpnja (ovaj nadolazeći ponedjeljak). Nažalost, iako se ovaj rok približava, tisuće PC sustava u svijetu još uvijek je zaraženo zlonamjernim programom DNSChanger, a kada se poslužitelji isključe, ti sustavi više neće moći rješavati URL-ove na IP adrese.


 

Ostavite Komentar