DNSChanger bulaşmış bir makine nasıl algılanır ve onarılır

9 Temmuz’da, FBI uygun İnternet erişimi için pek çok kişinin bağlı olduğu bir DNS sunucusu ağını kapatacak. Bu sunucular aslen Estonyalı vatandaşlardan oluşan bir suç çemberinin DNSChanger adında bir kötü amaçlı yazılım paketi geliştirip dağıttığı, ancak FBI’nın meşru bir DNS hizmetini ele geçirip dönüştürdüğü bir aldatmacanın parçasıydı.

Bu kötü amaçlı yazılım sahtekarlığı, Google ve Facebook gibi üçüncü taraf şirketlerin ve Comcast, COX, Verizon ve AT&T gibi bazı ISS'lerin bile, kullanıcılarının kendi sistemlerine ait olduklarını otomatik olarak bildirerek yayınlamaya yardımcı olma çabasına katıldığı kadar yaygındı. hileli DNS ağı ile yapılandırılmış.

Google’da arama yaparken, Facebook’a göz atarken veya sisteminizin tehlikeye girebileceğini iddia eden Web’i kullanırken kısa süre önce bir uyarı aldıysanız, sisteminizde kötü amaçlı yazılımın olup olmadığını kontrol etmek için birkaç adım atmayı düşünebilirsiniz. Bu birkaç şekilde yapılabilir. Önce, bilgisayarınızın kullandığı sunucuların sahte DNS ağının bir parçası olup olmadığını görmek için sisteminizdeki DNS ayarlarını kontrol edebilirsiniz.

Mac sistemlerinde, Ağ sistemi tercihlerini açın ve her şebeke servisi için (Wi-Fi, Ethernet, Bluetooth, vb.), Servisi seçin ve ardından "Gelişmiş" düğmesini tıklayın. Bunu "DNS" sekmesini seçip listelenen DNS sunucularını not alarak izleyin. Bunu, aşağıdaki komutu çalıştırarak Terminal'de de yapabilirsiniz:

ağlar arası -listallnetworkservices

Bu komut çalıştırıldıktan sonra, listelenen adların her birinde aşağıdaki komutu çalıştırın (adların önündeki yıldız işaretlerini kaldırdığınızdan emin olun ve adlarda boşluk varsa bunların adlarının tırnak içinde olduğundan emin olun):

networksetup -getdnsservers "HİZMET ADI"

Yapılandırılmış tüm DNS sunucularını listelemek için listelenen tüm hizmetler (özellikle Ethernet ve Wi-Fi bağlantıları) için bu komutu tekrarlayın.

Bir Windows makinesinde (sanal makineye yüklemiş olabilecekler dahil), komut satırı aracını açabilirsiniz (Başlat menüsünden "Çalıştır" ı seçin ve "cmd" girin veya Windows 7'de "Tüm Programlar" ı seçin. "ve ardından Donatılar klasöründen komut satırını seçin). Komut satırında, yapılandırılmış DNS sunucusu IP adresleri de dahil olmak üzere tüm ağ arabirimi bilgilerini listelemek için aşağıdaki komutu çalıştırın:

ipconfig / tümü

Sisteminizin DNS sunucularını listeledikten sonra, sahte DNS ağının bir parçası olarak tanımlanıp tanımlanmadıklarını görmek için FBI'nın DNS denetleyicisi Web sayfasına girin. DNS ayarlarınızı el ile ararken ve kontrol etmenin yanı sıra, sisteminizi DNSChanger kötü amaçlı yazılımlarına karşı test edecek bir dizi Web hizmeti açıldı. DNSChanger Çalışma Grubu, sisteminizi test etmek için kullanabileceğiniz bu hizmetlerin birçoğunu bir araya getirmiştir (ABD’de olanlar için, bağlantınızı test etmek için dns-ok.us adresine gidebilirsiniz).

Bu testler temiz çıkarsa, endişelenecek hiçbir şey kalmaz; Ancak, size herhangi bir uyarı veriyorlarsa, DNSChanger kötü amaçlı yazılımını denetlemek ve kaldırmak için kötü amaçlı yazılımdan koruma tarayıcı kullanabilirsiniz. Kötü amaçlı yazılımın Kasım 2011'de aniden durduğu göz önüne alındığında, güvenlik şirketlerinin kötü amaçlı yazılımdan koruma tanımlarını DNSChanger'ın tüm türevlerini içerecek şekilde güncellemeleri için yeterli zaman vardı. Bir kötü amaçlı yazılım tarayıcınız varsa ve son zamanlarda kullanmadıysanız, sisteminizi tam olarak taradıktan ve tam olarak başlatıp güncellediğinizden emin olun. Bunu, ağınızdaki her PC ve Mac için yapın ve ayrıca, DNS ayarlarının ISS'nizden uygun ayarlar olup olmadığını veya sahte DNS ayarları olup olmadığını görmek için yönlendiricinizin ayarlarını kontrol ettiğinizden emin olun.

Yönelticiniz veya bilgisayarınız kötü amaçlı yazılımı kaldırdıktan sonra geçerli bir DNS sunucusu adresi göstermiyorsa ve sisteminiz İnternet servislerine bağlanamıyorsa, sisteminizi OpenDNS’ler gibi ortak bir DNS servisi kullanacak şekilde yapılandırmayı deneyebilirsiniz. ve Google, aşağıdaki IP adreslerini sisteminizin ağ ayarlarına girerek:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Pazartesiden sonra artık İnternet'e erişemeyeceğinizi düşünüyorsanız, sisteminiz veya ağ yönlendiriciniz hala sahte DNS sunucuları ile yapılandırılmışsa ve sisteminizdeki kötü amaçlı yazılımı algılayıp kaldırmayı denemeniz gerekebilir. Neyse ki kötü amaçlı yazılım doğada viral değildir, bu yüzden kendiliğinden yayılmaz ve sistemleri otomatik olarak yeniden enfekte olmaz. Bu nedenle, bir kez kaldırıldıklarında ve kullanıcılar sistemlerinde geçerli DNS sunucuları kurduktan sonra, etkilenen bilgisayarların Internet'e düzgün erişimi olmalıdır.

İlgili Öyküler

  • FBI, DNSChanger kötü amaçlı yazılım dolandırıcılığını ele alıyor
  • Ghost Operasyonu Temmuz ayına kadar çevrimiçi kalmak için DNS sunucularına tıklayın
  • FBI, Web’in Temmuz’da orduyu öldürebileceğini söyledi
  • Google, kullanıcıları DNSChanger kötü amaçlı yazılım bulaşmasına karşı uyarır
  • Yeni DNSChanger Trojan varyantı yönlendiricileri hedef alıyor

Arka fon

DNS, İnternet telefon rehberi gibi davranan ve "www.cnet.com" gibi insan dostu URL'leri, bilgisayarların ve yönlendiricilerin bağlantı kurmak için kullandıkları IP adreslerine çeviren "Etki Alanı Adı Sistemi" dir. DNS, yazılan URL ile hedeflenen sunucu arasındaki arabirim olduğundan, suç çemberi normalde çalışacak olan kendi DNS ağını oluşturdu, ancak çemberin belirli URL’lerin web sitelerine sahte davranması için trafiği keyfi olarak yeniden yönlendirmesine izin verecek kişisel bilgileri çalmak veya insanları reklamlara tıklamak amacıyla kullanmak.

Hileli DNS ağının kendisini kurmak yeterli değildir, çünkü bu ağın kullanılması için bilgisayarın ayarlarında belirtilmesi gerekir. Bunun gerçekleşmesi için, suç çetesi, bir truva atı olarak dağıtılan ve dünya çapında milyonlarca PC sistemine başarıyla bulaşan DNSChanger kötü amaçlı yazılımını (ayrıca RSplug, Puper ve Jahlav olarak da bilinir) yarattı. Kurulduktan sonra, bu kötü amaçlı yazılım, etkilenen bilgisayarın ve hatta ağ yönlendiricilerin DNS ayarlarını sürekli olarak değiştirir ve suç halkasının hileli DNS ağına işaret eder. Sonuç olarak, insanlar bilgisayarlarının DNS ayarlarını manuel olarak değiştirmiş olsalar bile, bu değişiklikler sistemlerindeki kötü amaçlı yazılım tarafından otomatik olarak geri döndürülürdü.

Milyonlarca PC kullanıcısı bu kötü amaçlı yazılımdan etkilendiğinden, Kasım 2011'de Ghost Ring Operasyonu adlı çok taraflı bir iğneyi ele geçirdikten sonra, FBI ve diğer hükümet yetkilileri sahte DNS ağını kapatmaya karar verdiler. virüslü sistemlerin URL'leri çözümlemesinden ve böylece İnternet'i onlar için etkili bir şekilde kapatacaktı. Bunun yerine, DNS ağı aktif tutulmuş ve meşru bir hizmete dönüştürülmüş, DNSChanger kötü amaçlı yazılım kullanıcılarını bilgilendirmek ve dünya çapındaki enfeksiyonların sayısının düşmesini beklemek için çaba sarf edilmiştir.

Başlangıçta, sahte DNS ağı bu yılın Mart ayında kapanmaya karar verdi; Bununla birlikte, suç oranı kesildikten sonra enfeksiyon oranı önemli ölçüde azalırken, virüs bulaşmış bilgisayarların sayısı nispeten yüksek kalmıştır, bu nedenle FBI son tarihi 9 Temmuz'a (bu Pazartesi günü) uzatmıştır. Ne yazık ki, bu son tarih yaklaşsa bile, dünya çapındaki binlerce bilgisayar sistemi halen DNSChanger kötü amaçlı yazılımlarından etkilenmektedir ve sunucular kapatıldığında bu sistemler artık URL'leri IP adreslerine çözemez.


 

Yorumunuzu Bırakın