Вирус изменяет DNS в настройках сети

Обновлено: 02.07.2024

Федеральное бюро расследований (ФБР) находится на завершающей стадии своей операции «Призрачный щелчок», направленной на борьбу с угрозой вируса DNSChanger и троянской программы. Зараженные компьютеры, на которых запущено вредоносное ПО DNSChanger, могут выйти из строя в предстоящий понедельник (9 июля), когда ФБР планирует отключить онлайн-серверы, которые взаимодействуют с вирусом на хост-компьютерах.

Получив доступ к хост-компьютеру, вирус DNSChanger пытается изменить настройки DNS (сервера доменных имен), необходимые для доступа в Интернет, для отправки трафика на вредоносные серверы. Эти отравленные веб-адреса, в свою очередь, направляют трафик, генерируемый через зараженные ПК, на поддельные или небезопасные веб-сайты, большинство из которых используют онлайн-мошенничество. Также есть сообщения о том, что вирус DNSChanger также действует как троян, позволяя злоумышленникам получить доступ к зараженным компьютерам.

В мае этого года компания Google выпустила общие рекомендации для пользователей сети по обнаружению и удалению DNSChanger с зараженных компьютеров. Согласно нашему отчету, в мае 2012 года около 5 000 000 компьютеров все еще были заражены вирусом DNSChanger.

Первое сообщение о вирусе DNSChanger и его связи с международной группой хакеров впервые стало известно в конце прошлого года, и с тех пор их преследует ФБР. По оценкам, в 2011 году группа, стоящая за вирусом DNSChanger, заразила около 4 миллионов компьютеров по всему миру, пока ФБР не закрыло их в ноябре.

Согласно официальному объявлению, на последнем этапе операции «Призрачный щелчок» ФБР планирует отключить временные неавторизованные DNS-серверы в понедельник, 9 июля. В результате компьютеры, все еще зараженные вирусом DNSChanger, не смогут получить доступ к Интернету.

Как узнать, заражен ли ваш компьютер вирусом DNSChanger? Не беспокойтесь. Google объяснил хакерскую атаку и инструменты для удаления вредоносного ПО в своем официальном блоге. Trend Micro также предлагает подробные пошаговые инструкции, чтобы проверить, не заражен ли ваш ПК с Windows или Mac вирусом.

Объездной знак

Система доменных имен (DNS) – это часть интернет-инфраструктуры, которая преобразует легко запоминаемые доменные имена, используемые людьми, в менее понятные IP-адреса, используемые компьютерами, подключенными к Интернету. Без DNS нам пришлось бы запоминать IP-адрес каждого нового сайта, который мы хотим посетить.

В этом отношении DNS кажется в основном связанным с удобством. На самом деле DNS также является важной частью интернет-безопасности. Ваш компьютер доверяет DNS, чтобы дать ему правильный IP-адрес для любого данного сайта. К сожалению, существует очень мало мер предосторожности для обнаружения неверных ответов DNS, что оставляет брешь в системе безопасности, которую могут использовать злоумышленники.

Подробнее о том, как работает DNS

DNS децентрализован. Вместо того, чтобы состоять из одной массивной базы данных с информацией о каждом домене, эта информация разбросана по Интернету на множестве разных серверов. В каждом домене есть как минимум один авторизованный сервер имен.

Общие сведения. Авторитетный сервер имен — это DNS-сервер, который содержит все записи DNS для любого конкретного домена.

В этом примере я напрямую запросил один из серверов имен Comparitech, но это не совсем то, как система DNS работает в повседневной работе. Полная система DNS включает в себя не только DNS-серверы, но и DNS-клиенты. DNS-клиенты называются преобразователями DNS.

Предыстория: преобразователь DNS назван таким образом, потому что его работа заключается в том, чтобы взять доменное имя и преобразовать его в IP-адрес, который ваш компьютер может использовать для инициации связи с интернет-сервером. .

Распознаватель DNS находится почти на каждом компьютере, а также обычно на более высоких уровнях, например у вашего интернет-провайдера. Когда программа на вашем компьютере хочет узнать IP-адрес домена, она запрашивает преобразователь DNS для разрешения этого отношения домен-IP. Как распознаватель делает это, запрашивающая программа не знает; он просто рад получить IP-адрес, независимо от того, как он был получен.

Почти все DNS-преобразователи кэшируют запросы, чтобы снизить нагрузку на различные DNS-серверы. Преобразователь DNS на вашем компьютере называется локальным преобразователем, и когда он запрашивает IP-адрес, он сначала проверяет свой кэш, чтобы узнать, знает ли он уже этот ответ. Если это не так, он будет ссылаться на преобразователь DNS следующего уровня, которым обычно является ваш маршрутизатор. Этот распознаватель выполняет ту же проверку кеша, чтобы узнать, знает ли уже ответ, и если нет, то он направляет запрос следующему, более высокому распознавателю.Это продолжается до тех пор, пока не встретится распознаватель, у которого есть ответ и который предоставит IP-адрес, или пока иерархия не будет исчерпана и ни распознаватели, ни авторитетные серверы имен не будут знать IP-адрес домена. Последнее обычно происходит только в том случае, если домен не зарегистрирован и, следовательно, не имеет авторитетных серверов имен, или в цепочке преобразователя DNS возникла какая-либо другая неисправность.

Важной частью этого процесса является то, что как только распознаватель предоставляет ответ, поиск прекращается. Никакие другие распознаватели не будут опрошены, как только один распознаватель завершится успешно. В этом и заключается брешь, в которой может закрепиться вредоносное ПО смены DNS. Подробнее об этом позже.

Есть еще один уровень разрешения DNS, который не является частью модели DNS, но, тем не менее, обладает огромной силой. На каждом компьютере где-то в системе есть файл с именем hosts. В системах Unix и macOS/OSX он обычно находится в /etc/hosts/, а в системах Windows обычно находится в C:\System32\drivers\etc\hosts. Если вы используете более экзотическую операционную систему, расположение ее файла hosts, вероятно, находится в этом списке.

Файл hosts предшествует DNS и первоначально использовался для разрешения имен ARPANET, но до сих пор существует в системах. Он в основном используется техническими специалистами, такими как разработчики и системные администраторы, когда необходимо временно просмотреть домен с IP-адресом, отличным от того, который хранится в общедоступном DNS.

Файл hosts также можно изменить, чтобы заблокировать IP-адреса вредоносных веб-сайтов. Вы можете узнать, как изменить файл hosts, чтобы заблокировать рекламу и вредоносное ПО, здесь.

И наконец, существует множество различных типов записей DNS. Например, почтовые серверы обозначаются записями MX, адреса IPv6 содержатся в записях AAAA, а псевдонимы доменов называются записями CNAME. Для целей этой статьи мы сосредоточимся только на записи IPv4 A, которая содержит IPv4-адрес домена и используется в основном как IP-адрес веб-сайта.

Откуда берутся записи DNS?

Владельцы доменов несут ответственность за создание необходимых записей DNS для функционирования своего домена. Эти записи должны быть созданы везде, где находится авторитетный сервер имен для этого домена. Когда домен впервые приобретается у регистратора доменов, эти записи обычно указывают на какую-либо парковочную страницу у регистратора. После создания веб-сайта или другой службы для домена записи DNS обычно изменяются, чтобы указать на новый веб-сайт и почтовый сервер.

Общие сведения. Регистратор доменов – это место, где приобретается доменное имя или которому оно было передано после покупки. Используется архаичный термин «регистратор», поскольку важной функцией продавца домена является регистрация этого домена в системе DNS, чтобы можно было разрешить его записи DNS.

Как работает вредоносное ПО для смены DNS?

Цель вредоносного ПО DNS Changer — заставить ваш компьютер посещать службы, отличные от тех, которые вы намереваетесь, и сделать это совершенно невидимым для вас. Например, создание хакером копии веб-сайта Bank of America на другом сервере — это только полдела. Следующий шаг — как-то заставить людей посетить этот сайт и непреднамеренно ввести свои учетные данные для входа, чтобы их можно было отправить злоумышленникам.

Это форма фишинга. Одним из распространенных способов заставить людей посетить эти сайты является рассылка спама по электронной почте с запутанными ссылками. Ссылки выглядят так, как будто ведут на законный сайт Bank of America, но на самом деле это не так. Этот тип фишинга довольно легко победить с помощью некоторых основных методов расследования, о которых я писал здесь.

Более коварный и трудный для обнаружения метод — изменить локальный преобразователь DNS, чтобы предоставить вредоносный IP-адрес для запросов к домену Bank of America. Это означает, что вы запустите свой веб-браузер и посетите веб-сайт Bank of America. Ваш браузер запросит у локального преобразователя DNS IP-адрес сайта BoA, и поврежденный преобразователь DNS вернет IP-адрес вредоносного сайта вместо IP-адреса законного сайта BoA. Вредоносный сайт загрузится в вашем браузере, и, в отличие от обычных фишинговых сайтов, расположенных в других доменах, этот сайт будет фактически отображаться как Bank of America в адресной строке вашего браузера, что делает обнаружение неправильного направления почти невозможным.

Напоминаем, что как только преобразователь DNS получает ответ, он принимает этот ответ и больше не выполняет запросов. Это означает, что для предоставления неверного IP-адреса для DNS-запроса злоумышленнику достаточно перехватить первый преобразователь DNS, который будет обрабатывать ваши DNS-запросы. Почти во всех случаях это локальный преобразователь DNS на вашем компьютере или маршрутизаторе. Вектор атаки заключается в установке на ваш компьютер вредоносного ПО, которое получает контроль над вашим локальным DNS или DNS-сервером маршрутизатора.

История вредоносных программ DNS Changer

Первая волна вредоносного ПО для смены DNS появилась в 2013 году и потерпела полное поражение. Это было сложное дело, организованное эстонской компанией Rove Digital. Он управлял серией вредоносных DNS-серверов, которые внедряли рекламу на веб-страницы. Затем Rove повсеместно распространила вредоносное ПО для Windows и Mac OSX, которое перенастроило локальные распознаватели для использования этих вредоносных DNS-серверов. Прежде чем они были закрыты, было просмотрено более 14 млн долларов США по объявлениям.

Из-за характера этой атаки вредоносные DNS-серверы были обнаружены и занесены в каталог. Поэтому это было довольно легко исправить; это просто сводилось к проверке настроек DNS на вашем компьютере и сравнению их со списком известных DNS-серверов Rove. Если было совпадение, вы были инфицированы. Консорциум под названием Рабочая группа по изменению DNS (DCWG) был создан для помощи пользователям в диагностике и устранении заражения. Большинство ссылок на этом сайте уже не работают.

Хотя Китай технически не является вредоносным ПО, известно, что он отравляет собственный DNS в качестве инструмента цензуры. DNS-серверы, которые используют граждане Китая, настроены на возврат неверных IP-адресов для сайтов, которые Управление киберпространства Китая хочет сделать недоступными внутри страны.

В прошлом эти DNS-серверы возвращали нулевые IP-адреса, на которых не размещалось никакого контента, так что браузер посетителя просто отключался по тайм-ауту. В более позднем повороте DNS Китая, похоже, отвечает IP-адресами законных сайтов, которые он не одобряет в других частях мира, что привело к тому, что некоторые из этих сайтов отключились из-за объема трафика, который они внезапно получают от невольных Китайские посетители.

Общие сведения. Фраза «отравить DNS» означает преднамеренное изменение DNS-сервера таким образом, чтобы он возвращал неверные IP-адреса для домена или набора доменов. Вредоносная программа смены DNS существенно изменяет вашу локальную сеть, используя отравленные DNS-серверы.

Текущее состояние вредоносного ПО смены DNS

Нынешние разновидности вредоносного ПО DNS Changer гораздо сложнее и сложнее обнаружить. Внедрение рекламы для зарабатывания денег по-прежнему является основной целью вредоносного ПО для изменения DNS, но оно более коварно и также перенаправляет людей на вредоносные сайты для совершения различных видов мошенничества. Одним из основных отличий является то, что теперь он нацелен на маршрутизаторы, а не на отдельные компьютеры. Ориентация на маршрутизаторы является гораздо более эффективным вектором атаки, поскольку позволяет заражению одного маршрутизатора отравить DNS всех устройств, использующих этот маршрутизатор. В типичной домашней или офисной обстановке один маршрутизатор предоставляет DNS очень большому количеству устройств, не беспокоясь о попытках заразить локальный преобразователь DNS каждого отдельного устройства.

Анатомия современной атаки вредоносного ПО на DNS Changer

Современное вредоносное ПО DNS Changer развертывается с помощью JavaScript во время типичной атаки drive-by.

Общие сведения. Атака drive-by – это непреднамеренная загрузка javascript в ваш браузер с зараженного веб-сайта, который вы посетили. Этот термин является насмешливой ссылкой на неизбирательную стрельбу из проезжавших мимо автомобилей, в результате которой жертвы становятся произвольными.

После загрузки javascript он выполняет вызов WebRTC для определения вашего IP-адреса. Если ваш IP-адрес соответствует предварительно определенному набору правил, на ваш компьютер загружается реклама, содержащая скрытые отпечатки пальцев маршрутизатора и учетные данные администратора маршрутизатора по умолчанию. Затем эта информация извлекается, чтобы определить, какой тип маршрутизатора у вас есть. Затем он пытается войти в ваш маршрутизатор с учетными данными по умолчанию для вашей марки маршрутизатора, чтобы изменить настройки DNS. Компания Proofpoint выяснила, как работает этот процесс, и подробно описала, как здесь происходит каждый шаг.

Как определить, заражены ли вы

Без четко определенного вектора атаки, который использовал Rove Digital, обнаружить, что вы заражены, гораздо сложнее. Однако могут быть некоторые подсказки, указывающие на проблему.

Ошибки SSL или вообще отсутствие SSL

SSL (в наши дни правильнее называть его TLS) означает Secure Sockets Layer (TLS означает Transport Layer Security и заменил SSL). У SSL две основные задачи:

  • зашифровать информацию между вашим браузером и веб-сервером и
  • подтвердите идентификацию веб-сервера.

Второй пункт выполняется при покупке сертификата. Поставщик сертификата обязан убедиться, что лицо, запрашивающее сертификат для домена, является фактическим владельцем этого домена. Например, это не позволяет любому человеку получить SSL-сертификат Bank of America. Существуют различные уровни проверки, необходимые для выдачи сертификата:

  • Проверка управления доменом: наименьший уровень проверки, требующий от поставщика сертификата только подтверждения того, что инициатор запроса имеет физический контроль над доменом.
  • Проверка организации. В отличие от проверки домена, которая связана только с подтверждением контроля над доменом, проверка организации также направлена ​​на то, чтобы доказать, что организация, запрашивающая сертификат, является действительной, законной организацией. Чтобы подтвердить это, проводится некоторое расследование организации.
  • Расширенная проверка: это самый высокий уровень проверки, и организации, желающие получить сертификаты EV, должны доказать, что их бизнес является законным и надлежащим образом лицензированным в их юрисдикции.

Увеличение количества объявлений или перенаправление на страницы с рекламой

Разработчики вредоносных программ зарабатывают на рекламе. От нескольких центов за клик до многого, когда вы можете заставить миллионы людей кликать по ним. Если вы заметили увеличение количества рекламы или если вас перенаправляют на страницы с рекламой, это почти наверняка является признаком вредоносного ПО и, возможно, вредоносного ПО для изменения DNS.

Проверьте настройки DNS вашего маршрутизатора

Почти каждый маршрутизатор, представленный сегодня на рынке, имеет страницу настроек, на которой можно определить DNS-серверы. В большинстве случаев DNS-серверы диктуются вашим интернет-провайдером (ISP), и настройки DNS в вашем маршрутизаторе будут пустыми. Но можно переопределить DNS-серверы вашего интернет-провайдера, установив определенные DNS-серверы в вашем маршрутизаторе, что и пытается сделать вредоносное ПО DNS Changer. Есть два шага, чтобы определить, заражен ли ваш маршрутизатор:

  1. Проверьте настройки DNS на своем маршрутизаторе. Если они не пустые, то:
  2. Определите, являются ли перечисленные DNS-серверы вредоносными.

Каждый маршрутизатор уникален, поэтому невозможно перечислить инструкции о том, как найти настройки DNS для каждого маршрутизатора. Вам нужно будет найти настройку DNS-серверов. В некоторых случаях это находится в настройках WAN (Wide Area Network):

маршрутизатор 1 Настройки DNS

В других случаях вы можете найти его в настройках локальной сети:

маршрутизатор 2 Настройки DNS

Возможно, вам потребуется обратиться к документации вашего маршрутизатора, чтобы найти подходящее место для просмотра настроек DNS вашего маршрутизатора.

Используя приведенный выше двухэтапный тест на первом снимке экрана, я могу определить, что:

  1. Настройки DNS моего маршрутизатора НЕ пусты, поэтому я перехожу к шагу 2.
  2. Я узнаю 8.8.8.8 и 8.8.4.4 как DNS-серверы Google, поэтому я знаю, что они не являются вредоносными.

Но если бы я не был уверен, я бы погуглил эти IP-адреса, чтобы узнать, кому они принадлежат:

Google DNS поиск сервера

Если вы обнаружили записи в настройках DNS вашего маршрутизатора и не можете определить, откуда они берутся, вам следует удалить их.

Проверьте настройки DNS локального компьютера

Хотя сегодняшняя версия вредоносного ПО DNS Changer в первую очередь атакует маршрутизаторы, не помешает проверить настройки DNS вашего отдельного компьютера.

macOS

Apple -> Системные настройки -> Сеть -> нажмите на свою сеть

Настройки DNS macOS

Окна

Панель управления -> Сеть и Интернет -> Сетевые подключения -> щелкните правой кнопкой мыши сетевое подключение и выберите Свойства

Интернет-протокол версии 4 (TCP/IPv4)
Интернет-протокол версии 6 (TCP/IPv6)

Windows IP Настройки DNS

Нажмите "Дополнительно", если хотите добавить дополнительные DNS-серверы.

Проверить текущие настройки из командной строки:

Командная строка настроек DNS Windows IPconfig

Как защитить себя от заражения или повторного заражения

Вспомните, что современное вредоносное ПО DNS Changer пытается идентифицировать ваш маршрутизатор, а затем использовать для него учетные данные по умолчанию. Поэтому первая и лучшая защита от этого — просто сменить пароль администратора вашего маршрутизатора, как только сможете. Одно это простое действие остановит этот конкретный штамм вредоносного ПО.

Также важно отметить, что для успеха атаки используются JavaScript и webRTC. Я писал об опасностях серфинга с включенным javascript, а также о том, как отключить запросы webRTC.Есть красноречивое меньшинство, которое считает, что сеть полностью ломается, если вы путешествуете с отключенным javascript, но как многолетний ветеран этого я могу заверить вас, что с сетью все в порядке. Даже если бы это было не так, действует старая пословица: удобство или безопасность — выбирайте что-то одно. Для большинства из нас также нет причин разрешать запросы WebRTC. Если вам интересно, разрешаете ли вы запросы webRTC, вы можете использовать этот тест на утечку DNS и установить плагин для Chrome или Firefox, чтобы отключить его.

Если вы уже были заражены и обнаружили вредоносные DNS-серверы в своем маршрутизаторе или в локальных настройках DNS, вероятно, в вашей системе есть вредоносное ПО. Мы поддерживаем список лучших антивирусных решений, и вам следует запустить одно из них для сканирования вашей системы на наличие этого типа вредоносного ПО.

Важно делать все в правильном порядке. Если вы обнаружили вредоносные записи DNS на своем маршрутизаторе или локальном компьютере, удалили их, а затем установили антивирусное программное обеспечение, вам потребуется повторно посетить настройки DNS после завершения сканирования на наличие вредоносных программ. Причина этого в том, что вредоносное ПО, которое изменило ваши настройки DNS, вероятно, все еще существовало в вашей системе до завершения сканирования на наличие вредоносных программ. Те плохие записи DNS в вашем маршрутизаторе, которые вы удалили, могли быть немедленно заменены существующим вредоносным ПО. Только после того, как вы запустите антивирусное сканирование и удалите это вредоносное ПО, вы можете быть более уверены, что ваши настройки DNS останутся такими, как вы предполагали.

Что-то происходит со вчерашнего утра. У нас есть собственный DNS, и он стал автоматически меняться на 188.299.89.121. При загрузке сайта пишет, что нужно обновить браузер. Вот где это становится странным, это влияет на смартфоны и iPad, которые у нас есть в нашей беспроводной сети. Когда у ПК и ноутбуков это длится всего около 15 минут, а затем возвращается обратно. Я уже исправил и просканировал наш контроллер домена, у которого нет DNS, с помощью другого антивирусного программного обеспечения, и он оказался чистым. Думаю, мой следующий шаг — просканировать все другие затронутые компьютеры и посмотреть, смогу ли я что-нибудь найти. Кто-нибудь когда-нибудь видел это раньше, и нет простого способа это исправить?

Джон_С_716

Этот человек является проверенным специалистом

Джон_С_716

Участвуйте в еженедельном розыгрыше Amazon GC, наушников и динамика стоимостью 25 евро!

Конкурс завершается 20 марта 2022 г. Конкурсы Каждую неделю узнайте больше о том, как Red Hat может помочь вам добиться простоты и цифровых инноваций, и ответьте на вопрос. Детали конкурса Просмотреть все конкурсы

Сначала следуйте совету CarlsonER и заблокируйте подсеть /24.

Похоже, это троян Win32. Некоторые зараженные машины в вашей сети, возможно, ведут себя как DHCP-сервер и передают настройки DNS; вот почему он возвращается.

На зараженной машине (с поддельным DNS) вы должны увидеть IP-адрес сервера, действующего как сервер DHCP, с помощью ipconfig /all . Отключите эту машину от сети. Повторяйте этот процесс, пока все зараженные машины не будут удалены. Если он не отображается как DHCP-сервер, вам может потребоваться выполнить анализ сети, чтобы выяснить, где находится сетевой пакет, содержащий эту строку:

Если этот червь вызывает вашу проблему, следуйте этим инструкциям по очистке:

16 ответов

Джордан В

У меня есть ноутбук, который также автоматически меняет свой DNS-сервер. Вы пробовали телефоны и прочее с другими сетями, чтобы убедиться, что проблема именно в вашей сети? У меня просто устройство сходит с ума.

Джон_С_716

Этот человек является проверенным специалистом

OP John_C_716

Все остальное работает нормально. Я только что просканировал 2 ПК, это случилось с 1 Windows 7 и 1 XP, и они оба оказались чистыми.

CarlsonER

Заблокируйте IP-адрес или весь диапазон 188.229.89.x в брандмауэре

NathanSharp

Этот человек является проверенным специалистом

Натан Шарп

Заблокируйте IP-адрес или весь диапазон 188.229.89.x на вашем брандмауэре

Это приведет только к тому, что он ничего не разрешит (ЕСЛИ это действительно DNS). Похоже на вирус пару месяцев назад, когда правительство поддерживало DNS-сервер в рабочем состоянии до определенной даты.

CarlsonER

это не было предложено как исправление, просто чтобы заблокировать любое общение с этого IP/диапазона, то есть из Румынии.

Aurum Gold

Если там есть руткит, скорее всего, антивирус вообще не сможет его обнаружить во время работы Windows.

Есть ли на веб-сайте, который предлагает вам «обновить браузер», также ссылку для загрузки файла «обновления» .exe? Загрузите его (но НЕ запускайте) на одной из зараженных машин, скопируйте на флешку, перейдите на чистую машину с отключенным автозапуском (опять же, НЕ запускайте файл) и загрузите файл на VirusTotal.

Если вы не уверены, отключен ли автозапуск (Windows XP), удерживайте нажатой клавишу Shift, прежде чем вставлять флэш-накопитель USB, и отпустите клавишу примерно на 30 секунд (в зависимости от скорости компьютера). после того, как флешка будет распознана и буква диска появится в Проводнике Windows.

Если отчет VirusTotal показывает, что файл обнаружен как вирус/троян/вредоносная программа/что-то еще, загрузите на чистую машину свежую копию загрузочного компакт-диска с антивирусом с веб-сайта одной из компаний, чей антивирус обнаружил вирус, запишите компакт-диск и просканируйте с его помощью контроллер домена — вы, вероятно, захотите сделать это в нерабочее время или ночью, поскольку машина и, следовательно, DNS будут недоступны во время процесса. Некоторые загрузочные антивирусные компакт-диски могут содержать последние определения вирусов (Avira?) или нет (Symantec?); в последнем случае обязательно загрузите последние определения вирусов и укажите на них антивирус.

В зависимости от штамма рассматриваемого вируса вы также можете очистить MBR после сканирования и перед перезагрузкой компьютера в Windows.

После того, как вы убедитесь, что все в порядке, вам следует подумать об установке последних исправлений для операционной системы, браузеров и другого программного обеспечения на всех машинах, включая контроллер домена и другие серверы. Некоторые исправления для ОС могут нарушить работу служб или другого программного обеспечения, поэтому действуйте осторожно и документируйте все на случай, если вам понадобится отменить некоторые изменения.

Сначала следуйте совету CarlsonER и заблокируйте подсеть /24.

Похоже, это троян Win32. Некоторые зараженные машины в вашей сети, возможно, ведут себя как DHCP-сервер и передают настройки DNS; вот почему он возвращается.

На зараженной машине (с поддельным DNS) вы должны увидеть IP-адрес сервера, действующего как сервер DHCP, с помощью ipconfig /all . Отключите эту машину от сети. Повторяйте этот процесс, пока все зараженные машины не будут удалены. Если он не отображается как DHCP-сервер, вам может потребоваться выполнить анализ сети, чтобы выяснить, где находится сетевой пакет, содержащий эту строку:

Если этот червь вызывает вашу проблему, следуйте этим инструкциям по очистке:

Rockn

Этот человек является проверенным специалистом

Рокн

299 даже не является допустимым октетом в IP-адресе. Это опечатка?

Walter1703

Возможно, у вас есть вирус или вредоносное ПО с именем Rorpian, Buterat, Kolab или SillyFDC. Следуйте обычным процедурам по очистке системы от вирусов.

Джон_С_716

Этот человек является проверенным специалистом

OP John_C_716

Спасибо за помощь. да Rockn это была опечатка его 188.229.89.121. Я попробую несколько разных методов сканирования, чтобы посмотреть, смогу ли я что-нибудь найти. Я заблокирую его в брандмауэре, пока не найду причину и не исправлю. Я также позабочусь о том, чтобы все серверы и рабочие станции были пропатчены. На данный момент затронуто 5 компьютеров, и я работаю над их отключением.

Pyrostar - из того, что я видел до сих пор, он не просит ничего скачивать. Сегодня этого еще не произошло.

CarlsonER

В зависимости от количества компьютеров, которыми вы управляете, вы можете вручную настроить параметры DNS в каждой системе вместо автоматического получения DNS.

НатанШарп

Этот человек является проверенным специалистом

Натан Шарп

вау. просто погуглите этот ip и посмотрите на все результаты. это СТАРЫЙ вирус. Я удивлен, что ваш антивирус этого не видел.

Джон_С_716

Этот человек является проверенным специалистом

OP John_C_716

Ну, я нашел троян win32. на нашем вирусном сервере. очистите это сейчас с Sophos. Sophos нашла его, а Symantec — нет. увидеть, что произойдет, когда это будет сделано

В понедельник ФБР закроет сеть DNSChanger, после чего ожидается, что тысячи людей во всем мире больше не смогут получить доступ к Интернету.

Тофер, активный пользователь Mac в течение последних 15 лет, с весны 2008 года является автором MacFixIt. Одно из его увлечений – устранение неполадок Mac и максимально эффективное использование компьютеров Mac и оборудования Apple дома и в офисе. рабочее место.

9 июля ФБР закроет сеть DNS-серверов, от которых многие люди зависели от надлежащего доступа в Интернет. Эти серверы изначально были частью мошеннической схемы, в рамках которой преступная группировка граждан Эстонии разработала и распространила пакет вредоносного ПО под названием DNSChanger, но ФБР изъяло его и преобразовало в законную службу DNS.

Это мошенничество с вредоносным ПО получило настолько широкое распространение, что даже сторонние компании, такие как Google и Facebook, а также ряд интернет-провайдеров, таких как Comcast, COX, Verizon и AT&T, присоединились к усилиям по его устранению, отправляя автоматические уведомления пользователям, которые их системы настроены на мошенническую сеть DNS.

Предупреждение, которое появится вверху результатов поиска.

Если вы видите это или подобные предупреждения при использовании Google или других сервисов, обязательно проверьте свою систему на наличие вредоносных программ. CNET

Если вы недавно получили предупреждение при выполнении поиска в Google, просмотре Facebook или ином использовании Интернета, в котором утверждается, что ваша система может быть скомпрометирована, вы можете предпринять несколько шагов, чтобы проверить свою систему на наличие вредоносного ПО. . Это можно сделать несколькими способами. Сначала вы можете проверить настройки DNS в своей системе, чтобы узнать, не являются ли серверы, используемые вашим компьютером, частью мошеннической сети DNS.

В системах Mac откройте системные настройки сети и для каждой сетевой службы (Wi-Fi, Ethernet, Bluetooth и т. д.) выберите службу, а затем нажмите кнопку «Дополнительно». Следуйте этому, выбрав вкладку «DNS» и записав перечисленные DNS-серверы. Вы также можете сделать это в Терминале, выполнив сначала следующую команду:

Расположение настроек DNS в OS X

Проверьте это расположение для всех сетевых подключений, чтобы увидеть конфигурацию DNS в OS X (щелкните, чтобы увеличить). Снимок экрана: Тофер Кесслер/CNET

После выполнения этой команды выполните следующую команду для каждого из перечисленных имен (обязательно удалите все звездочки перед именами и убедитесь, что имена заключены в кавычки, если в них есть пробелы):

networksetup -getdnsservers "ИМЯ СЛУЖБЫ"

Повторите эту команду для всех перечисленных служб (особенно соединений Ethernet и Wi-Fi), чтобы получить список всех настроенных DNS-серверов.

На компьютере с Windows (включая любой из тех, которые вы могли установить на виртуальной машине) вы можете открыть инструмент командной строки (выберите «Выполнить» в меню «Пуск» и введите «cmd», или в Windows 7 выберите «Все программы», а затем выберите командную строку из папки «Стандартные»). В командной строке выполните следующую команду, чтобы просмотреть всю информацию о сетевом интерфейсе, включая настроенные IP-адреса DNS-сервера:

Командная строка Windows, показывающая DNS-серверы

Настройки DNS-сервера Windows для всех интерфейсов можно увидеть в его командной строке (щелкните, чтобы увеличить). Снимок экрана: Тофер Кесслер/CNET

Если эти тесты пройдут без ошибок, вам не о чем беспокоиться; однако, если они выдают вам какие-либо предупреждения, вы можете использовать сканер вредоносных программ, чтобы проверить и удалить вредоносное ПО DNSChanger. Учитывая, что вредоносное ПО было внезапно остановлено в ноябре 2011 года, у компаний, занимающихся безопасностью, было достаточно времени, чтобы обновить свои определения защиты от вредоносных программ, включив в них все варианты DNSChanger. Если у вас есть сканер вредоносных программ и вы давно им не пользовались, то обязательно запустите и полностью обновите его, после чего выполните полное сканирование вашей системы. Сделайте это для каждого ПК и Mac в вашей сети, и, кроме того, обязательно проверьте настройки маршрутизатора, чтобы убедиться, что настройки DNS соответствуют настройкам вашего интернет-провайдера или являются мошенническими настройками DNS.

Если на вашем маршрутизаторе или компьютере не отображаются действительные адреса DNS-серверов после того, как вы удалили вредоносное ПО, и ваша система не может подключиться к интернет-службам, вы можете попробовать настроить свою систему на использование общедоступной службы DNS, например от OpenDNS и Google, введя следующие IP-адреса в сетевые настройки вашей системы:

8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220

Если после понедельника вы обнаружите, что больше не можете получить доступ к Интернету, вероятно, ваша система или сетевой маршрутизатор по-прежнему настроены на мошеннические DNS-серверы, и вам нужно будет снова попытаться обнаружить и удалить вредоносное ПО из ваших систем. К счастью, вредоносное ПО не является вирусным по своей природе, поэтому оно не будет самораспространяться и автоматически повторно заражать системы. Таким образом, после удаления и настройки пользователями действительных DNS-серверов в своих системах затронутые компьютеры должны иметь надлежащий доступ к Интернету.

Похожие истории

Основные сведения
DNS – это "система доменных имен", которая действует как телефонная книга Интернета и преобразует удобные для человека URL-адреса, такие как "www.cnet.com", в соответствующие IP-адреса, которые компьютеры и маршрутизаторы используют для устанавливать связи. Поскольку DNS является интерфейсом между введенным URL-адресом и целевым сервером, преступная группировка создала свою собственную сеть DNS, которая в значительной степени работала бы нормально, но также позволяла бы кольцевой сети произвольно перенаправлять трафик для определенных URL-адресов на поддельные веб-сайты для с целью кражи личной информации или принуждения людей к кликам по объявлениям.

Настроить мошенническую сеть DNS как таковую недостаточно, так как эту сеть необходимо указать в настройках компьютера, чтобы ее можно было использовать. Чтобы это произошло, преступная группировка создала вредоносное ПО DNSChanger (также известное как RSplug, Puper и Jahlav), которое распространялось как троянский конь и успешно заразило миллионы компьютерных систем по всему миру. После установки эта вредоносная программа будет постоянно изменять настройки DNS для зараженного компьютера и даже для сетевых маршрутизаторов, чтобы указать на мошенническую сеть DNS криминальной группировки. В результате, даже если люди вручную изменят настройки DNS на своих компьютерах, эти изменения будут автоматически отменены вредоносной программой в их системах.

График заражения DNSChanger

После удаления число зараженных систем уменьшилось, хотя тысячи по всему миру все еще заражены. DCWG

Поскольку миллионы пользователей ПК были заражены этой вредоносной программой, после того как в ноябре 2011 года преступная группировка была ликвидирована в ходе многосторонней операции под названием "Операция Ghost Click", ФБР и другие государственные органы приняли решение не отключать мошенническую сеть DNS, поскольку это мгновенно препятствовали разрешению URL-адресов зараженными системами и, таким образом, фактически закрывали для них Интернет. Вместо этого сеть DNS оставалась активной и была преобразована в законную службу, в то время как были предприняты усилия, чтобы уведомить пользователей о вредоносном ПО DNSChanger и дождаться снижения числа заражений по всему миру.

Изначально мошенническую сеть DNS планировалось закрыть в марте этого года. однако, несмотря на то, что уровень заражения значительно снизился после того, как преступная группировка была уничтожена, количество зараженных компьютеров осталось относительно высоким, поэтому ФБР продлило крайний срок до 9 июля (в предстоящий понедельник). К сожалению, даже по мере приближения этого крайнего срока тысячи компьютеров по всему миру все еще заражены вредоносным ПО DNSChanger, и когда серверы будут отключены, эти системы больше не смогут преобразовывать URL-адреса в IP-адреса.

Получить информационный бюллетень CNET How To

Получите советы экспертов по использованию телефонов, компьютеров, устройств для умного дома и многого другого. Доставка по вторникам и четвергам.

Читайте также: