آنچه درباره ویروس DNS Changer باید بدانید

[شقایق31 40377]

بر اساس اعلام روابط عمومی شرکت مهندسی شبکه گستر، ویروس DNS Changer که این روزها یکبار دیگر در خبرها مطرح شده است، حدود ۵ سال قبل برای اولین بار مشاهده و شناسایی گردید. نویسندهگان و گردانندگان این ویروس توانسته بودند که یک شبکه مخربی از کامپیوترهای آلوده به این ویروس ایجاد کنند. سال گذشته، پلیس FBI آمریکا گردانندگان این ویروس را دستگیر کرد و اختیار سرورهای مرتبط با ویروس DNS Changer را در اختیار گرفت. مدتی قبل نیز، پلیس FBI مسئولیت نگهداری این سرورها را به یک موسسه غیرانتفاعی به نام Internet System Consortium واگذار کرد. اکنون طبق دستور محاکم قضایی آمریکا، این سرورها در روز دوشنبه ۱۹ تیرماه برچیده خواهند شد و نزدیک به ۳۰۰ هزار کامپیوتر در جهان که همچنان به ویروس DNS Changer آلوده هستند، قادر به دسترسی و استفاده از اینترنت نخواهند بود.

ویروس DNS Changer قادر بود که درخواست های اینترنتی کاربر آلوده را از طریق یک تعداد سرور به سایت های جعلی و مخرب هدایت کند. اینکار از طریق سوء استفاده از سرویس DNS صورت می گرفت. با تغییر آدرس سرور DNS مورد استفاده کامپیوتر، درخواست های ارسالی از آن کامپیوتر بجای هدایت به سرورهای DNS واقعی و معتبر در اینترنت، به یکی از سرورهای تحت کنترل افراد خلافکار فرستاده می شد. طبق تنظیمات صورت گرفته توسط این افراد مجرم بر روی این سرورهای DNS جعلی، کاربر به سایت های مورد نظر این افراد هدایت شده و در این سایت ها انواع بدافزارها و دیگر برنامه های مخربی و مزاحم بر روی کامپیوتر قربانی نصب و اجرا می گردید و یا اقدام به جمع آوری اطلاعات شخصی کاربر از روی کامپیوتر آلوده می شد.

طی چند ماه گذشته، پلیس FBI و مسئولان موسسه غیرانتفاعی فوق با ارسال پیام هایی به کاربران آلوده، سعی در اطلاع رسانی و هشدار به آنان را داشته اند. همچنین سایت های پرطرفدار مانند Google و Facebook در صورت تشخیص آلودگی بر روی کامپیوتر کاربران، هشدارهایی را بر روی صفحه نشان می دهند.

بعلاوه برای اطمینان از اینکه کامپیوتر شما آلوده به ویروس DNS Changer نیست، می توانید به سایت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

مراجعه کنید. در صورتیکه در این سایت، تصویر زیر به رنگ سبز دیده می شود، کامپیوتر شما سالم است. اگر تصویر به رنگ قرمز است، احتمالا کامپیوتر شما آلوده به ویروس DNS Changer شده است. البته باید توجه داشت که این ویروس می تواند روتر (router) ها را نیز آلوده کند، لذا در صورتیکه درخواست های اینترنتی شما از چنین روترهایی رد شود، با آنکه کامپیوتر شما سالم است، تصویر زیر بعنوان علامت آلودگی، به رنگ قرمز نمایش داده خواهد شد.

کنترل DFS

در صورت آلودگی به ویروس DNS Changer می توانید برای **ب اطلاعات فنی بیشتر به “هشدار ویروس DNS Changer” که در خرداد ماه امسال از سوی شرکت شبکه گستر برای مشترکین خود ارسال شد، مراجعه کنید.

همچنین در سایت DNS Changer Working Group که اختصاصا برای اطلاع رسانی و مبارزه با این ویروس توسط گروهی از مراکز علمی و شرکتهای امنیتی راه اندازی شده، اطلاعات کامل و ابزارهای شناسایی و پا**ازی متعددی ارائه شده است.

[Mohammad Aref 120452]

روش شناسایی و پاكسازی بدافزار DNSChanger

 

خلاصه آسیب پذیری :

بنابر اطلاعات واصله، احتمال ایجاد وقفه در دسترسی به اینترنت برخی از سیستم‌ها در تاریخ 19 تیرماه سال جاری ( 9 جولای ) وجود خواهد داشت. در تاریخ 9 جولای با از کارافتادن تمامی سرورهای جعلی این بدافزار پیش‌بینی میشود، دسترسی به اینترنت حدود 64000 کاربر آمریکایی و همچنین 200000 کابر غیر آمریکایی، که سیستم هایشان هنوز آلوده هستند، به علت عدم توانایی دسترسی به DNS سرورهای حقیقی، قطع شود. این بدافزار در سیستم عامل های ویندوز و مکینتاش فعال می باشد.

 

تشریح آسیب‌پذیری :

DNSChanger یک تروجان است که در شکل‌های مختلف مانند دام های تبلیغاتی به آلوده سازی سیستم قربانی پرداخته و پس از نصب بر روی سیستم، به صورت پیوسته تنظیمات DNS سیستم آلوده را به سمت سرورهای تقلبی تغییرداده و جستجوها و URL های درخواست شده را به سمت وب سایت‌های مخرب به منظور سرقت اطلاعات شخصی و ایجاد درآمد و آگهی‌های نامشروع برای کلاهبرداران سوق می‌دهد. نسخه‌های مختلفی از این بدافزار جهت سیستم عامل‌های ویندوز وMac در سال 2008 یافت شد که به نام‌هایOSX.RSPlug.A, OSX/Puper و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و یاTidServ شناخته می‌شود.

تغییر DNS سیستم و عدم دسترسی به اینترنت و یا نمایش مکرر پیام The address is not valid از نشانه های آلودگی سیستم می باشد.

 

روش انتشار بدافزار :

از طریق پست های الکترونیک اسپم و لینک های جعلی تبلیغاتی

 

روش شناسایی آلودگی به بدافزار:

تنظیمات DNS سیستم را با فهرست آدرس های اشاره شده مقایسه نموده و درصورت تغییر آدرس DNS‌ سیستم به آدرسهای زیر سیستم آلوده می باشد.

 

بررسی آلودگی سیستم در سیستم عامل ویندوز XP :

1. برنامه Run از طریق منوی Start سیستم اجرا شود

2. در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt‌ سیستم )

3. در برنامه اجرا شده، دستور ipconfig /all تایپ و در خروجی نمایش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

 

بررسی آلودگی سیستم در سیستم عامل ویندوز 7 :

1. برنامه Run از طریق منوی Start ، قسمت جستجوی سیستم اجرا شود

2. در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt‌ سیستم )

3. در برنامه اجرا شده، دستور ipconfig /allcompartments /all تایپ گردد.

4. در خروجی نمایش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

 

بررسی آلودگی سیستم در سیستم عامل مکینتاش :

1. بر روی آیکن Apple در سمت چپ صفحه نمایش کلیک شده و System Preferences انتخاب گردد.

2. در قسمت جستجوی برنامه، networkتایپ گردد.

3. در خروجی نمایش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

 

نحوه‌ی برخورد با آسیب‌پذیری :

1. تهیه نسخه پشتیبان از اطلاعات حساس سیستم

2. اسکن سیستم توسط آنتی ویروس به روز و پاکسازی بدافزار

3. بازگرداندن تنظیمات DNS سیستم به وضعیت مورد اطمینان و یا حالت خودکار

Local Area connection Properties à TCP/IP Properties à DNS server Addresses / Automatically

4. بررسی مجدد تنظیمات DNS پس از پاکسازی بدافزار به منظور اطمینان از صحت تنظیمات

5. پاکسازی رمزهای عبور ذخیره شده در مرورگر سیستم

Firefox : Tools à Options à Privacy à Clear all current history à Time range to clear ( everything ) à Clear Now

Internet explorer : Tools à Internet Options à General à Browsing history à Delete all

6. تغییر رمز عبور سیستم و رمز عبور مربوط به حساب های اینترنتی اعتباری و بانکی

 

سیستم تشخیص بدافزار بصورت خودکار تهیه شده توسط مرکز ماهر و آپای دانشگاه صنعتی شریف از طریق لینک قابل دسترسی می باشد.

 

برای اینکه مطمئن شوید سیستم شما آلوده هست یا خیر

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

کلیک نمایید.

 

منبع: مرکز ماهر