Så här upptäcker och fixar du en maskin som är infekterad med DNSChanger

Den 9 juli stänger FBI ett nätverk av DNS-servrar som många har varit beroende av för korrekt internetåtkomst. Dessa servrar var ursprungligen en del av en bluff där en brottsring av estniska medborgare utvecklade och distribuerade ett malwarepaket som heter DNSChanger, men som FBI greppat och konverterade till en legitim DNS-tjänst.

Denna malware bluff har varit utbredd nog att även tredjepartsföretag som Google och Facebook och ett antal Internetleverantörer som Comcast, COX, Verizon och AT & T har gått ihop för att hjälpa till att ta bort det genom att utfärda automatiska meddelanden till användare att deras system är konfigurerad med rogue DNS-nätverket.

Om du nyligen fått en varning när du utför en Google-sökning, surfar på Facebook eller på annat sätt använder webben som hävdar att ditt system kan komma att äventyras, kan du kanske överväga att ta ett par steg för att kontrollera ditt system för skadlig programvara. Detta kan göras på ett par sätt. Först kan du kolla DNS-inställningarna i ditt system för att se om servrarna din dator använder är en del av det rogue-DNS-nätverket.

På Mac-system öppnar du Nätverkssysteminställningarna och för varje nätverkstjänst (Wi-Fi, Ethernet, Bluetooth, etc.), välj tjänsten och klicka sedan på knappen "Avancerat". Följ detta genom att välja fliken "DNS" och notera de angivna DNS-servrarna. Du kan också göra detta i Terminal genom att först springa följande kommando:

networketup-listallnetworkservices

Efter det här kommandot körs, kör nästa kommando på var och en av de angivna namnen (var noga med att ta bort alla asterisker framför namnen och se till att namnen finns i citat om det finns några mellanslag i dem):

networketup -getdnsservers "SERVICE NAME"

Upprepa det här kommandot för alla listade tjänster (Speciellt Ethernet och Wi-Fi-anslutningar) för att lista alla konfigurerade DNS-servrar.

På en Windows-maskin (inklusive de som du kanske har installerat i en virtuell maskin) kan du öppna kommandoradsverktyget (välj "Kör" från Start-menyn och ange "cmd" eller i Windows 7 välj "Alla program "och välj sedan kommandoraden från mappen Tillbehör). I kommandoraden kör följande kommando för att lista alla nätverksgränssnittsinformation, inklusive konfigurerade DNS-serverns IP-adresser:

ipconfig / all

När du har listat upp DNS-servrarna på ditt system, ange dem på FBI: s DNS-checkers webbsida för att se om de är identifierade som en del av det rogue-DNS-nätverket. Förutom att man manuellt letar upp och kontrollerar dina DNS-inställningar har ett antal webbtjänster blivit uppåt som testar ditt system för DNSChanger-malware. Arbetsgruppen för DNSChanger har sammanställt en lista över många av dessa tjänster, som du kan använda för att testa ditt system (för de i USA kan du gå till dns-ok.us för att testa din anslutning).

Om dessa tester blir rena, har du inget att oroa dig för; Om de ger dig några varningar kan du dock använda en anti-malware-skanner för att kontrollera och ta bort malware för DNSChanger. Med tanke på att malware stoppades plötsligt i november 2011, har det varit gott om tid för säkerhetsföretag att uppdatera sina anti-malwaredefinitioner för att inkludera alla varianter av DNSChanger. Om du har en malware-skanner och inte har använt den förrän, var noga med att starta och uppdatera den fullständigt, följt av att du utför en fullständig genomsökning av ditt system. Gör det här för varje dator och Mac på ditt nätverk, och se till att du kontrollerar routerns inställningar för att se om DNS-inställningarna finns rätt från din Internetleverantör eller är otroliga DNS-inställningar.

Om din router eller dator inte visar några giltiga DNS-serverns adresser efter att du har tagit bort skadlig programvara och ditt system inte kan ansluta till Internet-tjänster kan du försöka konfigurera ditt system för att använda en offentlig DNS-tjänst, till exempel från OpenDNS och Google, genom att ange följande IP-adresser i ditt systems nätverksinställningar:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Om du efter en måndag upptäcker att du inte längre kan komma åt Internet så är det troligt att ditt system eller nätverksroutern fortfarande är konfigurerad med de rogue DNS-servrarna och du måste försöka att upptäcka och ta bort skadlig programvara från dina system igen. Lyckligtvis är skadlig programvara inte viral i naturen så det kommer inte att propagera och automatiskt infektera system. Så snart de har tagits bort och när användarna har satt upp giltiga DNS-servrar på sina system, ska de berörda datorerna ha korrekt tillgång till Internet.

Relaterade historier

  • FBI tar itu med DNSChanger malware scam
  • Operation Ghost Klicka DNS-servrar för att förbli online fram till juli
  • Webben kan försvinna för horder av människor i juli, varnar FBI
  • Google kommer att varna användarna för DNSChanger malware infektion
  • Ny DNSChanger Trojan-variant riktar sig till routrar

Bakgrund

DNS är "Domännamnssystemet", som fungerar som Internet-telefonboken och översätter människovänliga URL-adresser som "www.cnet.com" i sina respektive IP-adresser som datorer och routrar använder för att upprätta anslutningar. Eftersom DNS är gränssnittet mellan den typade webbadressen och den riktade servern, skapade brottsringen sitt eget DNS-nätverk som i stor utsträckning skulle fungera normalt, men skulle också tillåta att ringen vederbörligen omdirigerar trafiken för specifika webbadresser till falska webbplatser för syftet med att stjäla personlig information eller få folk att klicka på annonser.

Det är inte tillräckligt att konfigurera rogue-DNS-nätverket, eftersom det här nätverket måste anges i datorns inställningar för att kunna användas. För att detta ska ske, skapade brottsringen DNSChanger malware (även kallad RSplug, Puper och Jahlav), som distribuerades som en trojansk häst och framgångsrikt infekterade miljontals PC-system över hela världen. När den är installerad kommer den här skadliga programvaran ständigt att ändra DNS-inställningarna för den berörda datorn och även för nätverksrutrar, för att peka på brottsringens rogue-DNS-nätverk. Som ett resultat, även om personer manuellt ändrade sina dators DNS-inställningar, kommer dessa ändringar automatiskt att återställas av skadlig programvara på sina system.

Eftersom miljontals PC-användare hade smittats av den här skadliga programvaran, när brottsringen var nedtagen i en multilateral sting från november 2011, kallad Operation Ghost Click, beslutade FBI och andra myndigheter att stänga av det skurkliga DNS-nätverket eftersom detta skulle ha förhindrats omedelbart de infekterade systemen från att lösa URL-adresser, och därigenom skulle ha stängt Internet effektivt för dem. I stället blev DNS-nätverket aktivt och omvandlat till en legitim tjänst medan insatser infördes för att anmäla användare av DNSChanger malware och vänta på att antalet globala infektioner faller.

Inledningsvis slogs rogue DNS-nätverket ut för stängning i mars i år. Men medan infektionshastigheten sjönk betydligt när brottsringen var uppbruten, har antalet infekterade datorer varit relativt högt, så FBI förlängde tidsfristen till 9 juli (den här kommande måndagen). Tyvärr, trots att denna tidsfrist närmar sig, är tusentals PC-system över hela världen fortfarande smittade med DNSChanger-malware, och när servrarna stängs av kommer dessa system inte längre att kunna lösa URL-adresser till IP-adresser.


 

Lämna Din Kommentar