Július 9-én az FBI bezárja a DNS-kiszolgálók hálózatát, amelyet sokan a megfelelő internet-hozzáféréstől függtek. Ezek a szerverek eredetileg egy átverés részét képezték, ahol az észt állampolgárok bűncselekmény-gyűrűje kifejlesztett és terjesztett egy DNSChanger nevű kártevőcsomagot, amelyet az FBI lefoglalt és jogszerű DNS-szolgáltatássá alakított.

Ez a rosszindulatú csalás elég széles körben elterjedt ahhoz, hogy még harmadik felek, mint például a Google és a Facebook, valamint számos internetszolgáltató, mint például a Comcast, a COX, a Verizon és az AT&T csatlakozott az erőfeszítésekhez, hogy segítsen eltávolítani azáltal, hogy automatikus értesítést küld a felhasználóknak arról, hogy a rendszerük a rogue DNS hálózattal konfigurálva.

Ha nemrégiben figyelmeztetést kapott a Google-keresés, a Facebook böngészése vagy egyéb módon a web használata során, amely azt állítja, hogy a rendszer sérülhet, akkor érdemes néhány lépést megtennie a rendszer ellenőrzésére a rosszindulatú programok jelenlétére vonatkozóan. Ezt néhány módon lehet megtenni. Először ellenőrizheti a rendszer DNS-beállításait, hogy lássa, hogy a számítógép által használt kiszolgálók a gazember DNS-hálózat részét képezik.

Mac rendszeren nyissa meg a hálózati rendszer beállításait, és minden hálózati szolgáltatáshoz (Wi-Fi, Ethernet, Bluetooth, stb.) Válassza ki a szolgáltatást, majd kattintson az "Advanced" gombra. Kövesse ezt a „DNS” lap kiválasztásával, és jegyezze fel a felsorolt ​​DNS-kiszolgálókat. Ezt a Terminálban is megteheti a következő parancs futtatásával:

networketup -listalnetworkservices

A parancs futtatását követően a következő parancsokat futtassa a felsorolt ​​nevek mindegyikén (feltétlenül távolítsa el a csillagok bármelyikét a nevek előtt, és győződjön meg róla, hogy a nevek idézetekben vannak, ha vannak szóközök):

networketup -getdnsservers "SERVICE NAME"

Ismételje meg ezt a parancsot az összes felsorolt ​​szolgáltatáshoz (különösen az Ethernet és a Wi-Fi kapcsolatokhoz) az összes konfigurált DNS-kiszolgáló felsorolásához.

Windows-gépen (beleértve a virtuális gépbe telepítetteket is) megnyithatja a parancssori eszközt (válassza a Start menüből a "Futtatás" menüpontot, majd írja be a "cmd" -t, vagy a Windows 7 rendszerben válassza a "Minden program" lehetőséget. ", majd válassza ki a parancssorot a Tartozékok mappából). A parancssorban futtassa a következő parancsot az összes hálózati csatoló információ felsorolásához, beleértve a konfigurált DNS-kiszolgáló IP-címeit is:

ipconfig / all

A rendszer DNS-kiszolgálóinak felsorolását követően írja be azokat az FBI DNS-ellenőrző weblapjára, hogy lássa, hogy azok azonosítottak-e a gazember DNS-hálózat részeként. A DNS-beállítások kézi felkutatása és ellenőrzése mellett számos webszolgáltatás is megjelent, amely teszteli a rendszerét a DNSChanger-kártevőre. A DNSChanger munkacsoport összeállított egy listát számos ilyen szolgáltatásról, amelyeket a rendszer tesztelésére használhat (az USA-ban tartózkodók számára a dns-ok.us-hoz fordulhat a kapcsolat teszteléséhez).

Ha ezek a tesztek tisztaak, akkor nem kell aggódnia; Ha azonban bármilyen figyelmeztetést adnak, akkor egy anti-malware szkenner segítségével ellenőrizheti és eltávolíthatja a DNSChanger malware-t. Mivel a rosszindulatú programokat 2011 novemberében hirtelen megállták, a biztonsági cégek számára elegendő idő állt rendelkezésre, hogy frissítsék az anti-malware definícióikat, hogy a DNSChanger összes változatát magába foglalják. Ha van egy kártevő-szkenner, és nem használta fel az utóbbi időben, akkor győződjön meg róla, hogy teljesen elindítja és frissíti, majd a rendszer teljes vizsgálatát végzi. Hajtsa végre ezt a hálózaton lévő minden PC-n és Mac-en, és győződjön meg róla, hogy ellenőrizze az útválasztó beállításait, hogy lássa-e, hogy a DNS-beállítások megfelelőek-e az internetszolgáltatótól, vagy hamis DNS-beállítások.

Ha az útválasztó vagy a számítógép nem mutat érvényes DNS-kiszolgáló-címeket a kártevő eltávolítása után, és a rendszer nem tud csatlakozni az internetszolgáltatáshoz, akkor megpróbálhatja konfigurálni a rendszert egy nyilvános DNS-szolgáltatás használatára, például az OpenDNS-től és a Google, az alábbi IP-címek beírásával a rendszer hálózati beállításaiba:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Ha hétfő után már nem találja meg az internetet, akkor valószínűleg a rendszer vagy a hálózati útválasztó még mindig a rogue DNS-kiszolgálókkal van konfigurálva, és újra meg kell próbálnia észlelni és eltávolítani a rosszindulatú programokat. Szerencsére a kártékony program nem vírusos jellegű, így nem fogja önszaporodni és automatikusan megfertőzni a rendszereket. Ezért, ha eltávolították, és a felhasználók érvényes DNS-kiszolgálókat állítottak be a rendszerükön, az érintett számítógépeknek megfelelő hozzáféréssel kell rendelkezniük az internethez.

Kapcsolódó történetek

• Az FBI foglalkozik a DNSChanger kártékony csalással
• Művelet Ghost Kattintson a DNS-kiszolgálókra, hogy júliusig maradjanak online
• Júliusban az internetes hordák eltűnhetnek az emberek hordáitól
• A Google figyelmezteti a felhasználókat a DNSChanger-fertőzésre
• Az új DNSChanger trójai variáns az útválasztókat célozza

Háttér

A DNS a "Domain Name System", amely úgy működik, mint az internetes telefonkönyv, és az emberi barátságos URL-eket, például a "www.cnet.com" -et fordítja a saját IP-címükbe, amelyeket a számítógépek és az útválasztók a kapcsolatok létrehozásához használnak. Mivel a DNS a beírt URL és a célkiszolgáló közötti interfész, a bűncselekménygyűrű létrehozta saját DNS-hálózatát, amely nagyrészt normálisan működne, de lehetővé tenné a gyűrűnek, hogy önkényesen átirányítsa az adott URL-ek forgalmát a hamis webhelyekhez személyes adatok ellopására vagy a hirdetésekre való kattintásra.

Magának a gazember DNS-hálózatnak a beállítása nem elegendő, mivel ezt a hálózatot meg kell adni a számítógép beállításainál annak érdekében, hogy használni lehessen. Ahhoz, hogy ez megtörténjen, a bűncselekménygyűrű létrehozta a DNSChanger malware-t (más néven RSplug, Puper és Jahlav), amelyet trójai ló formájában terjesztettek és sikeresen fertőzött meg több millió számítógépes rendszert világszerte. A telepítés után ez a rosszindulatú program folyamatosan megváltoztatja az érintett számítógép DNS-beállításait és még a hálózati útválasztók számára is, hogy a bűncselekmény gyűrűjének DNS-hálózatára mutasson. Ennek eredményeképpen, még akkor is, ha az emberek manuálisan módosították a számítógépek DNS-beállításait, ezeket a változtatásokat a kártevő automatikusan visszaállítja a rendszerükre.

Mivel a PC-k több millió felhasználója fertőződött meg ezzel a kártevővel, miután a bűncselekmények gyűrűjét egy, a Operation Ghost Click nevű, 2011. novemberi többoldalú csípésbe vette, az FBI és más kormányzati hatóságok úgy döntöttek, hogy kikapcsolják a gazember DNS-hálózatot, mivel ez azonnal megakadályozta a fertőzött rendszereket az URL-ek feloldásáról, és így hatékonyan leállítaná az internetet. Ehelyett a DNS-hálózatot aktívan tartották és jogszerű szolgáltatássá alakították, miközben erőfeszítéseket tettek a DNSChanger-kártevő felhasználók értesítésére, és várni a világszerte terjedő fertőzések számának csökkenését.

Kezdetben a gazember DNS-hálózatot idén márciusban zárják le; bár a fertőzések száma jelentősen csökkent, miután a bűncselekmény gyűrű feloszlott, a fertőzött számítógépek száma viszonylag magas maradt, így az FBI meghosszabbította a határidőt július 9-re (ez a következő hétfő). Sajnos, mivel ez a határidő közeledik, világszerte több ezer PC-rendszer még mindig fertőzött a DNSChanger-kártevővel, és amikor a kiszolgálókat leállítják, ezek a rendszerek már nem képesek megoldani az URL-eket az IP-címekre.