Jak wykryć i naprawić maszynę zainfekowaną przez DNSChanger

9 lipca FBI zamknie sieć serwerów DNS, od których wielu ludzi zależy od prawidłowego dostępu do Internetu. Serwery te były pierwotnie częścią oszustwa, w którym przestępcy z estońskich obywateli opracowali i rozpowszechniali pakiet szkodliwego oprogramowania o nazwie DNSChanger, ale który FBI przechwycił i przekonwertował na legalną usługę DNS.

Szkodliwe oszustwo było na tyle rozpowszechnione, że nawet firmy zewnętrzne, takie jak Google i Facebook, oraz wielu dostawców usług internetowych, takich jak Comcast, COX, Verizon i AT & T, podjęło wysiłek, aby pomóc go usunąć, wysyłając automatyczne powiadomienia użytkownikom, że ich systemy są skonfigurowany z nieuczciwą siecią DNS.

Jeśli otrzymałeś ostrzeżenie podczas wyszukiwania w Google, przeglądania Facebooka lub korzystania z sieci, która twierdzi, że Twój system może zostać naruszony, możesz rozważyć wykonanie kilku kroków w celu sprawdzenia systemu pod kątem obecności złośliwego oprogramowania. Można to zrobić na kilka sposobów. Najpierw możesz sprawdzić ustawienia DNS w systemie, aby sprawdzić, czy serwery używane przez Twój komputer są częścią nieuczciwych sieci DNS.

W systemach Mac otwórz preferencje systemu sieciowego i dla każdej usługi sieciowej (Wi-Fi, Ethernet, Bluetooth itp.), Wybierz usługę, a następnie kliknij przycisk "Zaawansowane". Wykonaj to, wybierając zakładkę "DNS" i zanotuj wymienione serwery DNS. Możesz to również zrobić w Terminalu, uruchamiając najpierw następujące polecenie:

networksetup -listallnetworkservices

Po uruchomieniu tego polecenia należy uruchomić następującą komendę dla każdej z wymienionych nazw (pamiętaj, aby usunąć wszelkie gwiazdki przed nazwami i upewnić się, że nazwy są w cudzysłowie, jeśli są w nich spacje):

networksetup -getdnsservers "NAZWA USŁUGI"

Powtórz to polecenie dla wszystkich wymienionych usług (w szczególności połączeń Ethernet i Wi-Fi), aby wyświetlić listę wszystkich skonfigurowanych serwerów DNS.

Na komputerze z systemem Windows (łącznie z dowolnymi z zainstalowanych na maszynie wirtualnej) możesz otworzyć narzędzie wiersza poleceń (wybierz "Uruchom" z menu Start i wpisz "cmd" lub w systemie Windows 7 wybierz "Wszystkie programy ", a następnie wybierz wiersz poleceń z folderu Akcesoria). W wierszu polecenia uruchom następujące polecenie, aby wyświetlić wszystkie informacje o interfejsie sieciowym, w tym adresy IP skonfigurowanych serwerów DNS:

ipconfig / all

Po wyświetleniu na liście serwerów DNS systemu, wprowadź je na stronie internetowej kontrolera DNS FBI, aby sprawdzić, czy są one identyfikowane jako część sieci nieuczciwych DNS. Oprócz ręcznego sprawdzania i sprawdzania ustawień DNS, pojawiło się wiele usług internetowych, które przetestują Twój system pod kątem złośliwego oprogramowania DNSChanger. Grupa robocza DNSChanger przygotowała listę wielu z tych usług, których można użyć do przetestowania systemu (w Stanach Zjednoczonych można przejść do dns-ok.us, aby przetestować połączenie).

Jeśli te testy wyjdą czyste, to nie masz się czym martwić; jednak, jeśli dadzą ci jakieś ostrzeżenia, możesz użyć skanera anty-malware, aby sprawdzić i usunąć szkodliwe oprogramowanie DNSChanger. Biorąc pod uwagę, że złośliwe oprogramowanie zostało nagle przerwane w listopadzie 2011 r., Firmy zajmujące się bezpieczeństwem miały dość czasu, aby zaktualizować definicje ochrony przed złośliwym oprogramowaniem, aby uwzględnić wszystkie warianty DNSChanger. Jeśli posiadasz skaner złośliwego oprogramowania i nie korzystałeś z niego ostatnio, upewnij się, że uruchomiłeś go i zaktualizowałeś w pełni, a następnie wykonałeś pełne skanowanie systemu. Zrób to dla każdego komputera PC i Mac w twojej sieci, a ponadto sprawdź ustawienia routera, aby sprawdzić, czy ustawienia DNS są prawidłowe od twojego usługodawcy internetowego lub są nieuczciwymi ustawieniami DNS.

Jeśli po usunięciu złośliwego oprogramowania router lub komputer nie wyświetla żadnych poprawnych adresów serwerów DNS, a system nie może połączyć się z usługami internetowymi, możesz spróbować skonfigurować system tak, aby korzystał z publicznej usługi DNS, na przykład z OpenDNS i Google, wprowadzając następujące adresy IP do ustawień sieci twojego systemu:

8.8.8.8

8.8.4.4

208, 67.222.222

208, 67.220, 220

Jeśli po poniedziałku odkryjesz, że nie masz już dostępu do Internetu, prawdopodobnie Twój system lub router sieciowy jest nadal skonfigurowany z nieuczciwymi serwerami DNS i będziesz musiał ponownie spróbować wykryć i usunąć złośliwe oprogramowanie ze swoich systemów. Na szczęście złośliwe oprogramowanie nie ma charakteru wirusowego, więc nie będzie samo się rozprzestrzeniać i automatycznie ponownie infekować systemy. Dlatego po usunięciu i po skonfigurowaniu przez użytkowników prawidłowych serwerów DNS w swoich systemach, komputery, których dotyczy problem, powinny mieć właściwy dostęp do Internetu.

Powiązane historie

  • FBI zwalcza szkodliwe oprogramowanie DNSChanger
  • Operacja Ghost Kliknij serwery DNS, aby pozostać w trybie online do lipca
  • Internet może zniknąć w lipcu dla terrorystów, ostrzega FBI
  • Google powiadomi użytkowników o infekcji złośliwym oprogramowaniem DNSChanger
  • Nowy wariant Trojana DNSChanger jest przeznaczony dla routerów

tło

DNS to "System nazw domen", który działa jak książka telefoniczna w Internecie i tłumaczy przyjazne dla ludzi adresy URL, takie jak "www.cnet.com", na ich adresy IP używane przez komputery i routery do nawiązywania połączeń. Ponieważ DNS jest interfejsem między wpisanym adresem URL a docelowym serwerem, pierścień przestępczy stworzył własną sieć DNS, która w dużej części działałaby normalnie, ale jednocześnie pozwalałaby pierścieniowi arbitralnie przekierować ruch pod konkretne adresy URL do fałszywych witryn sieci Web dla w celu kradzieży danych osobowych lub nakłaniania użytkowników do klikania reklam.

Samo utworzenie fałszywej sieci DNS nie jest wystarczające, ponieważ ta sieć musi zostać określona w ustawieniach komputera, aby mogła być używana. Aby to się stało, przestępca stworzył szkodliwe oprogramowanie DNSChanger (zwane także RSplug, Puper i Jahlav), które zostało rozprowadzone jako koń trojański i skutecznie zainfekowało miliony systemów PC na całym świecie. Po zainstalowaniu złośliwe oprogramowanie stale zmienia ustawienia DNS dla danego komputera, a nawet routerów sieciowych, wskazując na nieuczciwą sieć DNS przestępcy. W rezultacie, nawet jeśli ludzie ręcznie zmienili ustawienia DNS swoich komputerów, zmiany te zostałyby automatycznie cofnięte przez złośliwe oprogramowanie w ich systemach.

Odkąd miliony użytkowników komputerów zostały zainfekowane tym złośliwym oprogramowaniem, po tym, jak obrączka została zdjęta w wielostronnym żądaniu z listopada 2011 r. O nazwie Operation Ghost Click, FBI i inne władze rządowe zdecydowały się nie wyłączać fałszywej sieci DNS, ponieważ natychmiast by to uniemożliwiło zainfekowanych systemów z rozwiązywania adresów URL, a tym samym skutecznie zamknąłby Internet dla nich. Zamiast tego sieć DNS była aktywna i konwertowana na legalną usługę, podczas gdy starano się powiadamiać użytkowników o złośliwym oprogramowaniu DNSChanger i czekać, aż spadnie liczba światowych infekcji.

Początkowo sieć Rogue DNS miała zostać zamknięta w marcu tego roku; jednakże, chociaż odsetek infekcji znacznie spadł po rozbiciu pierścienia przestępczości, liczba zainfekowanych komputerów pozostała stosunkowo wysoka, więc FBI przedłużyło termin do 9 lipca (nadchodzący poniedziałek). Niestety, nawet gdy zbliża się ten termin, tysiące komputerów PC na całym świecie są nadal zainfekowane szkodliwym oprogramowaniem DNSChanger, a gdy serwery zostaną zamknięte, te systemy nie będą już mogły rozwiązywać adresów URL na adresy IP.

Popularne Wiadomości

Kiedy i gdzie kupić zegarek Apple Watch

Zamów przedpremierowo e-booki z Google Play

Jak wykonać kopię zapasową swoich zdjęć na Instagramie i usunąć konto

5 nowych funkcji fitness przychodzi na Twój zegarek Apple Watch

Bye, Siri: 6 wskazówek, jak korzystać z Asystenta Google na iPhonie

Jak i gdzie kupić iPhone'a 6S i iPhone'a 6S Plus

 

Zostaw Swój Komentarz