Hvordan oppdage og reparere en maskin som er infisert med DNSChanger

Den 9. juli lukker FBI et nettverk av DNS-servere som mange har vært avhengig av for riktig Internett-tilgang. Disse serverne var opprinnelig en del av en svindel der en forbrytelsesring av estiske statsborgere utviklet og distribuerte en malwarepakke kalt DNSChanger, men som FBI tok på seg og konvertert til en legitim DNS-tjeneste.

Denne malware-svindelen har vært utbredt nok til at selv tredjeparts selskaper som Google og Facebook og en rekke Internett-leverandører som Comcast, COX, Verizon og AT & T har gått sammen i arbeidet med å fjerne det ved å utstede automatiske varsler til brukere at deres systemer er konfigurert med rogue DNS-nettverket.

Hvis du nylig har mottatt en advarsel når du utfører et Google-søk, surfer på Facebook eller på annen måte bruker nettet som hevder at systemet ditt kan bli kompromittert, kan du vurdere å ta et par skritt for å sjekke systemet for tilstedeværelsen av skadelig programvare. Dette kan gjøres på flere måter. Først kan du sjekke DNS-innstillingene i systemet ditt for å se om serverne datamaskinen bruker, er en del av det rogue-DNS-nettverket.

På Mac-systemer åpner du nettverkssysteminnstillingene og for hver nettverkstjeneste (Wi-Fi, Ethernet, Bluetooth, etc.), velg tjenesten og klikk deretter på "Avansert" -knappen. Følg dette ved å velge "DNS" -fanen og notere DNS-serverne som er oppført. Du kan også gjøre dette i Terminal ved å først kjøre følgende kommando:

networketup -listallnetworkservices

Etter at denne kommandoen er kjørt, kjør neste kommando på hvert av de oppførte navnene (vær sikker på å fjerne noen stjerner fra foran navnene og sørg for at navnene er i sitater hvis det er mellomrom i dem):

networketup -getdnsservers "SERVICE NAME"

Gjenta denne kommandoen for alle listede tjenester (Spesielt Ethernet og Wi-Fi-tilkoblinger) for å liste alle konfigurerte DNS-servere.

På en Windows-maskin (inkludert noen av dem du kanskje har installert i en virtuell maskin), kan du åpne kommandolinjeverktøyet (velg "Kjør" fra Start-menyen og skriv inn "cmd" eller i Windows 7 velg "Alle programmer "og velg deretter kommandolinjen fra mappen Tilbehør). I kommandolinjen, kjør følgende kommando for å liste over alle nettverksgrensesnittinformasjon, inkludert konfigurerte DNS-server-IP-adresser:

ipconfig / all

Når du har systemets DNS-servere oppført, må du skrive dem inn på FBIs DNS-sjekker-nettside for å se om de er identifisert som en del av det rogue-DNS-nettverket. I tillegg til å manuelt slå opp og sjekke DNS-innstillingene dine, har en rekke webtjenester dukket opp som vil teste systemet for DNSChanger-malware. DNSChanger-arbeidsgruppen har samlet en liste over mange av disse tjenestene, som du kan bruke til å teste systemet ditt (for de i USA kan du gå til dns-ok.us for å teste forbindelsen din).

Hvis disse testene kommer opp rene, har du ingenting å bekymre deg for; Men hvis de gir deg noen advarsler, kan du bruke en anti-malware skanner til å sjekke og fjerne DNSChanger malware. Gitt at malware ble brått stoppet i november 2011, har det vært god tid for sikkerhetsselskaper å oppdatere sine anti-malware-definisjoner for å inkludere alle varianter av DNSChanger. Hvis du har en malware-skanner og ikke har brukt den nylig, må du sørge for å starte og oppdatere den fullstendig, etterfulgt av å utføre en full skanning av systemet. Gjør dette for hver PC og Mac på nettverket ditt, og sørg også for å sjekke ruterenes innstillinger for å se om DNS-innstillingene er riktige fra Internett-leverandøren din, eller at de er falske DNS-innstillinger.

Hvis ruteren eller datamaskinen ikke viser noen gyldige DNS-serveradresser etter at du har fjernet skadelig programvare, og systemet ikke kan koble seg til Internett-tjenester, kan du prøve å konfigurere systemet til å bruke en offentlig DNS-tjeneste, som for eksempel fra OpenDNS og Google, ved å skrive inn følgende IP-adresser i systemets nettverksinnstillinger:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Hvis du etter mandag finner at du ikke lenger kan få tilgang til Internett, så er det sannsynligvis at systemet eller nettverksrouteren fortsatt er konfigurert med de rogue DNS-serverne, og du må igjen forsøke å oppdage og fjerne malware fra systemene dine. Heldigvis er skadelig programvare ikke viral i naturen, så det vil ikke selvformere og automatisk infisere systemer. Derfor, når de er fjernet, og når brukere har satt opp gyldige DNS-servere på sine systemer, bør de berørte datamaskinene ha riktig tilgang til Internett.

Relaterte historier

  • FBI takler DNSChanger malware svindel
  • Operations Ghost Klikk DNS-servere for å forbli online til juli
  • Web kan forsvinne for horder av mennesker i juli, advarer FBI
  • Google vil varsle brukere til DNSChanger malware infeksjon
  • Ny DNSChanger Trojan variant målruterne

Bakgrunn

DNS er "Domenenavnssystem", som fungerer som Internett-telefonboken og oversetter menneskelige URL-adresser som "www.cnet.com" i deres respektive IP-adresser som datamaskiner og rutere bruker til å etablere forbindelser. Siden DNS er grensesnittet mellom den skrevne nettadressen og den målrettede serveren, opprettet forbrytelsesringen sitt eget DNS-nettverk som i stor grad ville fungere normalt, men vil også gi ringen mulighet til å omdirigere trafikken for bestemte nettadresser til falske nettsider for Formålet med å stjele personlig informasjon eller få folk til å klikke på annonser.

Det er ikke nok å konfigurere det falske DNS-nettverket selv, siden dette nettverket må spesifiseres i en datamaskinens innstillinger for å kunne brukes. For å få dette til å skje, opprettet forbrytelsesringen DNSChanger malware (også referert til som RSplug, Puper og Jahlav), som ble distribuert som en trojansk hest og vellykket infiserte millioner av PC-systemer over hele verden. Når denne malware er installert, vil denne malware kontinuerlig endre DNS-innstillingene for den berørte datamaskinen og til og med for nettverksrutere, for å peke på kriminelle ringenes rogue DNS-nettverk. Som et resultat, selv om folk manuelt endret datamaskinens DNS-innstillinger, vil disse endringene automatisk bli returnert av malware på deres systemer.

Siden millioner av PC-brukere hadde blitt smittet av denne skadelige programvaren, da forbrytelsesringen ble tatt ned i et multilateralt sting fra november 2011, kalt Operation Ghost Click, bestemte FBI og andre myndigheter om å slå av rogue DNS-nettverket, da dette umiddelbart ville forhindret de infiserte systemene fra å løse URL-adresser, og dermed ville ha effektivt stengt Internett for dem. I stedet ble DNS-nettverket holdt aktivt og omgjort til en legitim tjeneste, mens innsatsen ble satt på plass for å varsle brukere av DNSChanger malware og vente på antall verdensomspennende infeksjoner å falle.

I utgangspunktet ble det rogue DNS-nettverket slated for lukning i mars i år; Imidlertid, mens infeksjonsraten falt betydelig når forbrytelsesringen ble brutt opp, har antallet infiserte datamaskiner holdt seg relativt høy, slik at FBI forlenget fristen til 9. juli (denne kommende mandag). Dessverre, selv om denne deadline nærmer seg, er tusenvis av PC-systemer over hele verden fortsatt infisert med DNSChanger-malware, og når serverne slås av, vil disse systemene ikke lenger kunne løse URL-adresser til IP-adresser.

Populære Innlegg

Ting å se etter når du bestiller en Airbnb

Ikke stol på DVD for langsiktig sikkerhetskopiering

Slik lager Google alltid søkeresultatkoblinger i nye faner

Slik synkroniserer du valgte mapper mellom Dropbox og Mac

Slik selger du et produkt på eBay ved hjelp av Android-enheten din

Hvordan 'Pin' apps i Android 5.0 Lollipop

 

Legg Igjen Din Kommentar