Sådan registreres og repareres en maskine, der er inficeret med DNSChanger

Den 9. juli lukker FBI et netværk af DNS-servere, som mange mennesker har været afhængige af for korrekt internetadgang. Disse servere var oprindeligt en del af en fidus, hvor en forbrydelsesring af estiske statsborgere udviklede og distribuerede en malwarepakke kaldet DNSChanger, men som FBI greb og konverterede til en legitim DNS-tjeneste.

Denne malware fidus er blevet udbredt nok til, at selv tredjepartsvirksomheder som Google og Facebook og en række internetudbydere som Comcast, COX, Verizon og AT & T har sluttet sig i bestræbelserne på at fjerne det ved at udstede automatiske meddelelser til brugere, at deres systemer er konfigureret med rogue DNS-netværket.

Hvis du for nylig har modtaget en advarsel, når du udfører en Google-søgning, browser på Facebook eller på anden måde bruger internettet, der hævder, at dit system kan blive kompromitteret, kan du overveje at tage et par trin for at kontrollere dit system for tilstedeværelsen af ​​malware. Dette kan gøres på et par måder. Først kan du kontrollere DNS-indstillingerne i dit system for at se, om de servere, din computer bruger, er en del af det rogue-DNS-netværk.

På Mac-systemer åbner netværkssystemindstillingerne og for hver netværkstjeneste (Wi-Fi, Ethernet, Bluetooth osv.), Vælg tjenesten og klik derefter på knappen "Avanceret". Følg dette ved at vælge fanen "DNS" og notere de DNS-servere, der er angivet. Du kan også gøre dette i Terminal ved først at køre følgende kommando:

networketup -listallnetworkservices

Efter at denne kommando er kørt, kør næste kommando på hvert af de angivne navne (sørg for at fjerne enhver stjerne fra foran navnene og sørg for, at navne er i citater, hvis der er mellemrum i dem):

networksetup -getdnsservers "SERVICE NAME"

Gentag denne kommando for alle listede tjenester (Især Ethernet og Wi-Fi-forbindelser) for at liste alle konfigurerede DNS-servere.

På en Windows-maskine (herunder alle dem, du måtte have installeret i en virtuel maskine), kan du åbne kommandolinjeværktøjet (vælg "Kør" fra menuen Start og indtast "cmd" eller i Windows 7 vælg "Alle programmer "og vælg derefter kommandolinjen fra mappen Tilbehør). Kør kommandolinjen i kommandolinjen for at liste alle netværksgrænsefladeoplysninger, herunder konfigurerede DNS-server-IP-adresser:

ipconfig / all

Når du har fået dit system DNS-servere opført, skal du indtaste dem på FBIs DNS-checkers webside for at se om de er identificeret som en del af det rogue-DNS-netværk. Ud over at man manuelt kigger op og kontrollerer dine DNS-indstillinger, er der kommet en række webtjenester op, der tester dit system for DNSChanger-malware. DNSChanger Working Group har udarbejdet en liste over mange af disse tjenester, som du kan bruge til at teste dit system (for de i USA kan du gå til dns-ok.us for at teste din forbindelse).

Hvis disse tests kommer op rene, så har du intet at bekymre sig om; Men hvis de giver dig advarsler, kan du bruge en anti-malware scanner til at kontrollere og fjerne DNSChanger malware. Da malware blev brat stoppet i november 2011, har der været rigelig tid for sikkerhedsfirmaer at opdatere deres anti-malware-definitioner for at inkludere alle varianter af DNSChanger. Hvis du har en malware scanner og ikke har brugt det for nylig, skal du sørge for at starte og opdatere det fuldt ud, efterfulgt af en fuld scan af dit system. Gør dette for hver pc og Mac på dit netværk, og sørg også for at kontrollere din router indstillinger for at se, om DNS-indstillingerne er der rigtige fra din internetudbyder eller er uhyggelige DNS-indstillinger.

Hvis din router eller computer ikke viser gyldige DNS-serveradresser, efter at du har fjernet malware, og dit system ikke kan oprette forbindelse til internettjenester, kan du prøve at konfigurere dit system til at bruge en offentlig DNS-tjeneste, som f.eks. Fra OpenDNS og Google ved at indtaste følgende IP-adresser i dit systems netværksindstillinger:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Hvis du efter mandag finder, at du ikke længere kan få adgang til internettet, så er det sandsynligt, at dit system eller netværksrouter stadig er konfigureret med de rogue DNS-servere, og du skal igen forsøge at opdage og fjerne malware fra dine systemer. Heldigvis er malware ikke viral i naturen, så det vil ikke selvformere og automatisk geninficere systemer. Når en gang er fjernet, og når brugerne har oprettet gyldige DNS-servere på deres systemer, skal de berørte computere have korrekt adgang til internettet.

Relaterede historier

  • FBI tackler DNSChanger malware scam
  • Operation Ghost Klik på DNS-servere for at forblive online indtil juli
  • Web kunne forsvinde for horder af mennesker i juli, advarer FBI
  • Google vil advare brugere til infektion med DNSChanger malware
  • Nye DNSChanger Trojan variant mål routere

Baggrund

DNS er "Domain Name System", som fungerer som internets telefonbog og oversætter menneskelige venlige webadresser som "www.cnet.com" i deres respektive IP-adresser, som computere og routere bruger til at etablere forbindelser. Da DNS er grænsefladen mellem den typede webadresse og den målrettede server, oprettede forbrydelsesringen sit eget DNS-netværk, der stort set ville fungere normalt, men ville også give ringen mulighed for vilkårligt at omdirigere trafikken til bestemte webadresser til falske websteder til med det formål at stjæle personlige oplysninger eller få folk til at klikke på annoncer.

Det er ikke nok at konfigurere det skurkiske DNS-netværk selv, da dette netværk skal specificeres i computerens indstillinger for at kunne bruges. For at få dette til at ske, skabte forbrydelsesringen DNSChanger malware (også kaldet RSplug, Puper og Jahlav), som blev distribueret som en trojansk hest og succesfuldt inficerede millioner af pc-systemer verden over. Når denne malware er installeret, vil denne malware løbende ændre DNS-indstillingerne for den berørte computer og endda for netværks routere, for at pege på forbrydelsesringens rogue-DNS-netværk. Som følge heraf, selvom folk manuelt ændrede deres computers DNS-indstillinger, vil disse ændringer automatisk blive vendt tilbage af malware på deres systemer.

Da millioner af pc-brugere var blevet smittet af denne malware, da forbrydelsesringen blev taget ned i et multilateralt sting fra november 2011, kaldet Operation Ghost Click, besluttede FBI og andre offentlige myndigheder sig for at slukke for det rogue-DNS-netværk, da dette ville have forhindret det øjeblikkeligt de inficerede systemer fra at løse webadresser og dermed effektivt kunne lukke internettet for dem. DNS-netværket blev i stedet holdt aktivt og konverteret til en legitim service, mens der blev sat en indsats for at underrette brugere af DNSChanger-malware og vente på, at antallet af verdensomspændende infektioner falder.

Oprindeligt blev det rogue-DNS-netværk slettet for lukning i marts i år; Men mens infektionshastigheden faldt betydeligt, når forbrydelsesringen blev brudt, er antallet af inficerede computere forblevet relativt højt, så FBI forlængede fristen til 9. juli (denne kommende mandag). Desværre, selvom denne deadline nærmer sig, er tusindvis af pc-systemer verden over stadig inficeret med DNSChanger-malware, og når serverne lukkes ned, vil disse systemer ikke længere kunne løse webadresser til IP-adresser.

Populære Indlæg

Hvad GDPR betyder for Facebook, EU og dig

Skal du købe en istandsat iPad?

Sådan tørres og geninstalleres dit iPhone OS

Sådan forbinder du Lifx-pærer til Google Home

Sådan hentes og gemmes hele dit Tumblr-indhold

10 tips til bedre bærbar batterilevetid med Windows 10

 

Efterlad Din Kommentar