Forbereder seg på strømbruddet til DNSChanger

Hvis man skulle tro på noen overskrifter, er det en Internett-apokalypse 9. juli 2012, hvor hundretusener av datamaskiner ikke vil kunne få tilgang til Internett på grunn av handlinger fra FBI. Men før noen får panikk, la oss kutte gjennom hypen og ta en titt på hva som skjedde og hvordan du kan forberede organisasjonen og brukerne dine før fristen nærmer seg.

Så hva skjer?

I november i fjor kunngjorde FBI en vellykket avslutning av en stor svindel med klikk-knekter i en felles etterforskning med estiske myndigheter og andre organisasjoner, inkludert antimedieselskapsbedriften Trend Micro. Syv individer, inkludert seks estlendere og en russer, ble siktet for ledningsbedrageri og datamaskininnbrudd. Etterforskningen, kalt "Operation Ghost Click", omfattet fjerning av et botnet som besto av nesten 4 millioner infiserte datamaskiner. Myndighetene raidet datasentre lokalisert i New York og Chicago og fjernet nesten 100 servere. Datamaskinene som var medlemmer av det botnettet, ble smittet med skadelig programvare kjent som DNS Changer som har vært i omløp siden 2007.

DNS Changer malware-familien erstatter lydløst Domain Name System (DNS) -innstillingene til datamaskinene som den infiserer (både Windows-PCer og Mac-maskiner) med adressene til ondsinnede servere og rutere (ja, små kontor / hjemmekontorrutere som fremdeles brukte deres standard brukernavn og passord). Berørte brukere vil deretter bli henvist til nettsteder som serverte skadelig programvare, spam eller store annonser når de prøvde å gå til populære nettsteder som Amazon, iTunes og Netflix. I tillegg blokkerte noen varianter av skadelig programvare tilgang til anti-malware og operativsystemoppdateringssider for å forhindre at den fjernes. Operatørene av dette botnettet ville motta annonseinntekter når sidene ble vist eller klikket på, og generere dem over $ 14 millioner i gebyrer.

På grunn av potensiell innvirkning på at fjerningen av disse DNS-serverne ville ha for millioner av brukere, fikk FBI de ondsinnede serverne erstattet med maskiner som ble drevet av Internet Systems Consortium, en ideell organisasjon som ikke er profitt i offentlighet, for å gi berørte brukere tid til å rense sine maskiner. Opprinnelig skulle disse midlertidige serverne legges ned i mars, men FBI innhentet en rettskjennelse som godkjente en utvidelse på grunn av det store antallet datamaskiner som fremdeles var berørt. Den nye fristen er 9. juli, noe som gir mer tid til de som fremdeles er smittet til å fikse datamaskinene sine. Fra mars inkluderte de smittede fremdeles 94 av alle Fortune 500-selskaper og tre av 55 store myndigheter, ifølge IID (Internet Identity), en leverandør av teknologi og tjenester.

Hvordan sjekker jeg om jeg er smittet?

Hvis du er en nettverksadministrator eller IT-proff, og du er ganske sikker på at organisasjonen din er i klartekst, kan det hende du kanskje vil dele disse instruksjonene med brukerne dine, slik at de er klar over at hjemmesystemene deres kan bli infisert og slik at de kan utføre selvkontrollene.

Både FBI og DNS Changer Working Group har gitt detaljerte trinnvise instruksjoner for manuell kontroll av Windows XP, Windows 7 og Mac OS X-maskiner for infeksjon. I utgangspunktet, hvis DNS-serverne dine oppført inneholder en eller flere av adressene i listen nedenfor, kan datamaskinen din ha blitt infisert:

  • 85.255.112.0 til 85.255.127.255
  • 67.210.0.0 til 67.210.15.255
  • 93.188.160.0 til 93.188.167.255
  • 77.67.83.0 til 77.67.83.255
  • 213.109.64.0 til 213.109.79.255
  • 64.28.176.0 til 64.28.191.255

Hvis datamaskinen sjekker ut, bør du også sjekke SOHO-ruteren. Se produktdokumentasjonen din om hvordan du får tilgang til ruteren din og sammenligne DNS-serverne med dem på listen over. Hvis ruteren din blir berørt, er en datamaskin i nettverket sannsynligvis infisert med skadelig programvare.

Det er også flere selvsjekkverktøy som kan hjelpe deg med å sjekke maskinen din. Et slikt verktøy er levert av DNS Changer Working Group på http://www.dns-ok.us/. Dette nettstedet vil vise et bilde med rød bakgrunn hvis maskinen eller ruteren er infisert. På en ren maskin vil det være en grønn bakgrunn:

Figur A

Det er flere lokaliserte versjoner av dette verktøyet, vedlikeholdt av forskjellige sikkerhetsorganisasjoner, hver med instruksjoner for hvordan du rydder opp infeksjonen (en komplett liste finner du her):

Nettstedet Språk Vedlikeholdsorganisasjon (er)
www.dns-ok.us Engelsk DNS Changer Working Group (DCWG)
www.dns-ok.de tysk Bundeskriminalamt (BKA) & Bundesamt für Sicherheit in der Informationstechnik (BSI)
www.dns-ok.ca Engelsk / fransk Canadian Internet Registration Authority (CIRA) og Canadian Cyber ​​Incident Response Center (CCIRC)
dns-ok.gov.au Engelsk CERT Australia
dns-changer.eu Tysk, spansk, engelsk ECO (Association of the German Internet Industry)

FBI gir også et skjema der du kan angi IP-adressen til DNS-serveren som er konfigurert på maskinen:

Figur B

Avhengig av organisasjonenes nettverkskonfigurasjon, kan du konfigurere varsler når maskiner fra det interne nettverket forsøker å nå en av de oppførte adressene, eller du kan blokkere dem direkte. Vær forsiktig hvis du velger å blokkere dem, ettersom en infisert maskin i hovedsak vil miste sin internettforbindelse, siden de ikke vil kunne løse noe Internett-servernavn de prøver å nå. Selvfølgelig vil dette også være en stor anelse om at noe er galt, hvis støttetelefonlinjene fyrer opp 9. juli med brukere som melder om mystiske strømbrudd!

Jeg fant en infeksjon! Hvordan fikser jeg det?

Som med påvisning er det også et antall verktøy tilgjengelig for å fikse en infeksjon. Siden DNS-skifteren ble levert gjennom forskjellige mekanismer i løpet av årene, kan noen infeksjoner være vanskeligere å fjerne enn andre. I noen ekstreme tilfeller vil bare en full installering av operativsystemet på nytt sikre en vellykket reparasjon. Noen tilgjengelige fjerningsverktøy inkluderer:

  • Kaspersky Labs TDSSKiller
  • McAfee Stinger
  • Microsofts sikkerhetsskanner
  • Trend Micro Housecall
  • MacScan
  • Avira DNS Repair Tool

Dette er på ingen måte en komplett liste; de fleste anti-malware selskaper bør kunne oppdage denne trusselen. Men vær klar over at kjørelengden din kan variere. DNS Changer var også en del av noen nettutnyttelsessett og andre typer skadelig programvare (bakdører, keyloggers, etc.) kan ha løst en tur og komplisert fjerningsprosessen. Hvis du har en berørt ruter, bør du også endre standardadministrasjonspassordet til noe annet (og ikke bruke et lett gjettelig passord - det vil bare være et spørsmål om tid før noen andre prøver et lignende angrep).

Hva om maskinen min forblir smittet etter fristen?

Maskiner som forblir smittet eller blir betjent av en berørt ruter etter at de midlertidige serverne er fjernet, vil for all del miste internettforbindelsen. Hvordan fikse det vil forbli den samme, men med den ekstra rynken at du sannsynligvis vil trenge en andre, rene maskin med Internett-tilgang for diagnostikk og for å få fjerningsverktøy.

© Copyright 2020 | mobilegn.com