Problém jménem DNSChanger a pár dobrých zpráv

Jak si možná vzpomenete, v únoru jsme na tomto blogu vydali článek informující o skutečnosti, že 8. března dojde k vypnutí sítě DNS serverů, využívaných trojským koněm s příznačným názvem DNSChanger. FBI, která momentálně tyto DNS servery provozuje, však mezitím dostala soudní příkaz k dalšímu prodloužení provozu těchto DNS serverů, tak, aby mělo co možná největší množství uživatelů kompromitovaných počítačů možnost tento zákeřný software odstranit. Nově stanovené datum je tedy 9. července 2012. Zde je pro technicky zdatnější uživatele video, které demonstruje, co DNSChanger v systému dělá.

Proč je tento trojský kůň tak nebezpečný? Po infikování počítače totiž změní DNS servery používané napadeným počítačem na své vlastní, které byly až do zásahu FBI ovládané tvůrci DNSChangeru. To znamená, že počítač oběti mohli například místo na adresu www.gmail.com přesměrovat na svůj vlastní server, kde pak mohli například získat přihlašovací údaje oběti. Lze předpokládat, že obětí těchto podvodů byli nejčastěji uživatelé internetového bankovnictví. Dále tento software stahuje do počítače další viry a trojské koně. Nejvíce zákeřná je však schopnost tohoto trojského koně změnit i nastavení některých routerů, používaných v domácnostech pro sdílení internetového připojení. Za tímto účelem zkouší známá defaultní jména a hesla pro různé routery. Pokud tedy máte na svém routeru defaultní jméno a heslo stačí jeden nakažený počítač, či návštěva někoho, kdo se s nakaženým počítačem do vaší sítě připojí a problém máte také. A je jedno, zda na svém PC používáte nejaktuálnější antivir, či jak obezřetně se na internetu chováte.

V současné době již nehrozí riziko přesměrování na podvodné servery. Avšak tento trojský kůň s velkou pravděpodobností indikuje další virovou nákazu vašeho počítače. Navíc, pokud dojde 9. července tohoto roku k definitivnímu vypnutí DNS serverů, které tento trojský kůň používá, přestane vám fungovat překlad doménových jmen na IP adresy. A nyní již další dobrá zpráva. Tento problém zaujal naše laboratoře a ty se rozhodly spustit českou verzi stránek, které umožňují detekovat, zda je váš počítač nakažen tímto nebezpečným trojským koněm. Proto neváhejte navštívit tuto stránku na adrese www.dns-ok.cz. Zde se dozvíte nejen zda je váš počítač, či router napaden, ale také, jakým způsobem se nejlépe této virové nákazy zbavit.

A perlička na konec. Pokud jste byli tímto virem napadeni a chcete pomoci FBI při vyšetřování, můžete se tímto formulářem přihlásit jako jedna z obětí.

Pavel Bašta

Autor:

Komentáře (7)

  1. Ondřej Caletka říká:

    Jakým způsobem stránka dns-ok.cz detekuje použití určitého DNS serveru? Nabízíte resolverům z rozsahu DNSchangeru jinou adresu, nebo jste nějak domluveni s FBI?

    Mimochodem, zdroják té stránky je poněkud „neortodoxní“ :)

  2. Ondřej Surý říká:

    Ano, na obojí. Resp. pro FBI to provozuje ISC, takže jsme domluveni s nimi.

    Zdroják stránky je stejný jako na dns-ok.us, v zásadě jsme to jen přeložili.

  3. Ondřej Caletka říká:

    Zdroják anglické verze je OK, ta česká verze má u zelené verze jednu sadu HTML hlaviček a patiček navíc.

  4. Ondřej Surý říká:

    Aha, psal jsem to z telefonu, tak jsem to nezkontroloval. Nicméně se zdá, že to kolegové již opravili. Díky za upozornění.

  5. Kolibřík říká:

    „aby mělo co možná největší množství uživatelů kompromitovaných počítačů možnost tento zákeřný software odstranit“ – to si děláte z lidí fakt srandu? Nejrychleji by infekci odstranili, kdyby ty DNS přestaly fungovat a jim tam přestal fungovat „internet“. No ale vzhledem k tomu, že DNS provozuje FBI, tak chápu, že by se nerada „ukvapeně“ zbavila do klína spadnuvšího zdroje šmírování, že.

    Ufff. :(

  6. Ondřej Surý říká:

    Něco, co postihne statisíce uživatelů, kteří nic netuší není tak jednoduché. Navíc, pokud se podíváte na rozsahy, které byly použity (http://www.dcwg.org/detect/are-your-dns-settings-safe/), tak zjistíte, že pokud by se nic nestalo, tak je to skoro 20 tisíc adres, které nejde moc dobře přidělovat dál.

    A co se týče paranoie, tak jsem si docela dost jistý, že soudní příkaz zní zcela konkrétně, co můžou a nemůžou s daty dělat.

Zanechte komentář