Skoči na vsebino

SI-CERT 2012-07 / DNSChanger trojanec

Povzetek

Trojanec DNSChanger spremeni DNS nastavitve računalnika in je napadalcem omogočil preusmerjanje prometa na vmesne strežnike, kjer so lahko prestregali komunikacijo okuženih računalnikov. FBI je novembra 2011 po dvoletni akciji s sodelovanjem estonske policije dosegel aretacijo šestih estonskih državljanov, ki so s pomočjo trojanca zgradili večmiljonsko omrežje okuženih računalnikov. DNS strežniki so prešli pod nadzor FBI, vendar pa to ni odpravilo okužb. Po izklopu strežnikov 9. julija 2012 bodo okuženi uporabniki imeli težave pri dostopu do interneta.

Opis

Leta 2007 je organizirana skupina uporabila zlonamerni program DNSChanger in z njim okužila približno 4 milijonov računalnikov v več kot 100 državah. Po podatkih SI-CERT je bilo v obdobju od novembra 2011 do junija 2012 v Sloveniji 76.000 različnih IP naslovov, ki so kazali znake okužbe (nekaj računalnikov je medtem že bilo očiščenih, posamezen okužen računalnik lahko skozi daljše obdobje uporablja več IP naslovov, zato je seveda dejansko število okuženih računalnikov manjše).

Novembra 2011 je ameriški FBI v sodelovanju z estonskimi organi pregona dosegel aretacijo skupine storilcev (operacija “[Ghost Click]”), ki so preko okuženih sistemov manipulirali s spletnimi oglasi in se na ta način okoristili za 14. mio USD. Pri tem je bil prevzet tudi nadzor nad DNS strežniki, ki jih je skupina uporabljala. Strežnike so nadomestili, saj bi ob odstranitvi strežnikov iz omrežja povzročili težave pri uporabi interneta milijonom okuženih uporabnikov. Po nekaj mesecih pa se bo to 9. julija 2012 vendarle zgodilo.

Priporočeni ukrepi

Vsem uporabnikom svetujemo, naj preverijo ali je njihove nastavitve DNS strežnikov spremenil DNSChanger trojanec. To lahko opravite preprosto preko obiska spletne strani dns-ok.si. Ob okuženem računalniku in spremenjenih DNS nastavitvah boste videli rdečo opozorilo, kar pomeni zelo verjetno okužbo. V tem primeru sledite navodilom na spletni strani (navedena so tudi kasneje v tem obvestilu). Če vidite zeleno obvestilo, potem vaš računalnik ni okužen.

Preverite, ali ste okuženi!

Odstranjevanje DNSChanger trojanca

Na spodnjem spisku najdete seznam programov, ki lahko trojanca odstranijo. Ker obstaja več različic DNSChanger trojanca, ni nujno, da posamezni program zna odstraniti vse. V tem primeru vam svetujemo naslednji postopek:

  1. Namestite enega od spodnjih programov.
  2. Sledite navodilom za namestitev in zagon programa. Nekateri programi svetujejo pregled celotnega računalnika, kar je priporočen ukrep.
  3. Ponovno zaženite računalnik
  4. Obiščite spletno stran dns-ok.si, da preverite ali je DNSChanger trojanec še vedno aktiven na vašem računalniku.
  5. Če je okužba še vedno prisotna, izberite drug program za odstranjevanje trojanca.

Programi za Microsoft Windows

Program za Mac OS X

Če odstranjevanje po zgoraj opisanem postopku ni uspelo, preverite nastavitve svojega usmerjevalnika. Nekatere različice DNSChanger trojanca so namreč znale spremeniti nastavitve domačega usmerjevalnika in tako izpostavile vse naprave (računalniki, mobilni telefoni, tiskalniki), ki preko njega dostopajo na internet. Med nastavitvami poiščite DNS strežnike in preverite, ali IP naslovi teh ustrezajo tistim, ki jih priporoča vaš ponudnik. Če so bili zapisi spremenjeni, jih popravite in zopet obiščite spletno stran dns-ok.si. Za pomoč pri preverjanju in spreminjanju DNS nastavitev na domačem usmerjevalniku se obrnite na svojega ponudnika.

Če nastavitve usmerjevalnika niso bile spremenjene, bo morda potrebna ponovna namestitev računalnika. Pred tem naredite varnostno kopijo pomembnih dokumentov.

Povezave

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več