Internet nélkül maradhatnak a felszámolt DNSChanger trójai áldozatai

Tavaly novemberben az FBI biztonsági szakértőkkel együttműködve sikeresen lezárta ”Operation Ghost Click” fedőnevű akcióját, amely a 2007 óta tevékenykedő lengyel eredetű ”DNSChanger” trójai program és annak működéséhez köthető illegális DNS infrastruktúra felszámolására irányult. A közel 100 ország, összesen több, mint 4 millió internetezőjét megfertőző káros szoftver hálózat felszámolása komoly sikernek értékelhető, azonban az áldozatok még nem lélegezhetnek fel, előfordulhat ugyanis, hogy a fertőzött számítógépek március 8-tól ”internet nélkül maradnak”.

A DNS (Domain Name System) egy internetes szolgáltatás, amely a felhasználóbarát szöveges tartományneveket (pl.:[weboldalnev].hu) a számítógép által is értelmezhető és a hálózati kommunikáció alapjaként szolgáló IP címekre fordítja. Amikor a felhasználó egy böngészőbe begépeli egy weboldal címét, akkor a számítógépe a DNS szerverek segítségével határozza meg az adott weboldalhoz tartozó IP címet. Ezután a számítógép az IP cím segítségével kapcsolódik a megnyitni kívánt weboldalhoz. A legtöbb internetszolgáltató üzemeltet DNS szervereket így azok általában megjelenek a számítógép hálózati beállításai között. A DNS és a DNS szerverek kritikus részét képezik a számítógépes rendszereknek, ugyanis ezek nélkül a weboldalakhoz történő kapcsolódás, az e-mail üzeneteket küldése vagy bármilyen más internetes szolgáltatás használata roppant körülményes, egy átlagos felhasználó számára közel lehetetlen feladat.

Az internetes bűnözők is tisztában vannak a DNS rendszer kritikus fontosságával és rájöttek, hogy ha módosítani tudják a felhasználók által használt DNS bejegyzéseket és információkat, akkor befolyásolható az, hogy a felhasználók milyen weboldalakhoz csatlakoznak. A DNS módosításával a bűnözők elérhetik, hogy a gyanútlan áldozatok az általuk megjeleníteni kívánt weboldal helyett egy csaló vagy kártékony tartalommal ellátott oldal jelenjen meg. Az egyik módszer erre, ha megfertőzik a számítógépeket egy DNS bejegyzések és információk módosítására képes káros szoftverrel. Ebben az esetben a bűnözők egy kártékony program segítségével megváltoztatják a felhasználók DNS szerver beállításait és így a fertőzött számítógépek az internetszolgáltató által biztosított valós DNS szerverek helyet, a bűnözők által üzemeltetett hamis DNS szerverekhez kapcsolódnak.

Az FBI felfedezett egy ilyen illegális DNS szerver hálózatot, amely a ”DNSChanger” elnevezésű trójaival volt összefüggésben, és nemrégiben sikeresen felszámolták annak Command and Controll (C&C) infrastruktúráját. Ugyanakkor az illegális DNS hálózat lekapcsolása nem jelenti azt, hogy a fertőzött számítógépek is megszabadultak a káros szoftvertől, így ennek egyik eredménye lehet, hogy az eddig a hamis DNS szerverekhez kapcsolódó számítógépeken megszűnik a DNS szolgáltatás. Ennek kezelésére az FBI szakembereivel közösen kidolgozott egy tervet, amely szerint a hamis DNS szervereket ideiglenesen legitim, az FBI által üzemeltetett szerverekre cserélték. Így a DNSChanger-rel fertőzött felhasználók továbbra is tudnak böngészni az interneten. Ezzel a megoldással továbbá a felhasználók számára lehetőség nyílik a számítógépeik teljes átvizsgálására és az esetleges káros szoftver eltávolítására. A jelenlegi információk szerint  ezek az ideiglenes DNS szerverek március 8-ig üzemelnek, így azok a fertőzött felhasználók, akik eddig az időpontig nem távolítják el a kártevőt a számítógépükről, internet nélkül maradnak.

Mit tesz a DNSChanger a számítógéppel?

A DNSChanger kártevő hatására a számítógép hamis DNS szerverekhez csatlakozik. Első lépésként a kártevő megváltoztatja a számítógép DNS szerver beállításait, hogy az a szolgáltató DNS szerverei helyett a bűnözők által üzemeltetett hamis DNS szervere csatlakozzon. Második lépésként a kártevő megpróbál hozzáférni az áldozat számítógépe által használt DHCP kiszolgálóhoz (pl. router) és az alapbeállításként használt jelszavak próbálgatásával (brute force) ezen az eszközön is megpróbálja beállítani a hamis DNS szerverek használatát. Amennyiben ez sikeres, akkor az adott hálózaton lévő összes számítógép – beleértve azokat is, amelyek nem fertőzöttek a kártevővel – a bűnözők által irányított DNS szerverekkel fog kommunikálni.

Fertőzött-e a számítógép?

Megjegyzés:
Előfordulhat, hogy a DNSChanger káros szoftverrel fertőzött számítógépen más kártevők is találhatóak így az, hogy a gép újra legitim DNS szerverekhez kapcsolódik nem garantálja azt, hogy az áldozat az esetleges többi kártevőtől is megszabadult volna.

A legjobb módszer annak meghatározására, hogy a számítógép vagy a hálózat fertőzött-e, ha  a rendszer ellenőrzésre kerül egy számítógépes szakember segítségével. Ezenfelül az alább található lépések a felhasználó segítségére lehetnek a szükséges információk begyűjtésében, mielőtt felvennék a kapcsolatot egy szakemberrel. Annak meghatározására, hogy a számítógép illegális DNS szervereket használ-e, szükséges a DNS szerver beállítások ellenőrzése. Amennyiben a számítógép egy vezeték nélküli hálózathoz csatlakozik, akkor az azt biztosító eszköz ellenőrzése is szükséges (router).

Mindemellett az FBI létrehozott egy weboldalt, ahol a felhasználók ellenőrizhetik, hogy számítógépük nem használja-e a DNSChanger káros szoftverhez köthető DNS szerverek valamelyikét.
http://dns-ok.us

A számítógép ellenőrzése

Amennyiben a felhasználó Windows operációs rendszert használ, úgy szükséges a parancssor elindítása. Ezt a legegyszerűbben úgy lehet megtenni, ha a Start menüből a felhasználó kiválasztja a futtatás menüpontot és ide a ”cmd.exe” parancsot gépeli, vagy kiválasztja a parancssort a Start menüből.

A parancssorban a következő parancsot kell begépelni:
ipconfig /all

Ezzel a számítógép kilistázza a különböző hálózati adapterekhez (kártyákhoz) tartozó beállításokat. Itt meg kell keresni a ”DNS szerverek” feliratot. Az ebben és az ez alatti sor(ok)ban található számok a számítógép által használt DNS szerverek IP címei. Ezek a számok a következő formátumban jelennek meg: xxx.xxx.xxx.xxx, ahol az xxx egy 0 és 255 közötti számot takar. Az itt megjelenített IP címeket már össze lehet hasonlítani az alábbi táblázatban található illegális DNS szerver címekkel.

Az illegális DNS szerverek IP címei:

85.255.112.0 és 85.255.127.255 között
67.210.0.0 és 67.210.15.255 között
93.188.160.0 és 93.188.167.255 között
77.67.83.0 és 77.67.83.255 között
213.109.64.0 és 213.109.79.255 között
64.28.176.0 és 64.28.191.255 között

Amennyiben számítógépe DNS beállításai között egy vagy több a fentebb leírt tartományokba eső IP cím szerepel, akkor minden bizonnyal a számítógép DNSChanger káros szoftverrel fertőzött. Ekkor javasolt a számítógépen vírus és kártevő eltávolító szoftver futtatása vagy annak frissítése és a rendszer alapos átvizsgálása. Amennyiben ez nem járna sikerrel célszerű felvenni a kapcsolatot egy számítógépes szakemberrel.