Skoči na vsebino

SI-CERT 2012-07 / DNSChanger trojanec

Povzetek

Trojanec DNSChanger spremeni DNS nastavitve računalnika in je napadalcem omogočil preusmerjanje prometa na vmesne strežnike, kjer so lahko prestregali komunikacijo okuženih računalnikov. FBI je novembra 2011 po dvoletni akciji s sodelovanjem estonske policije dosegel aretacijo šestih estonskih državljanov, ki so s pomočjo trojanca zgradili večmiljonsko omrežje okuženih računalnikov. DNS strežniki so prešli pod nadzor FBI, vendar pa to ni odpravilo okužb. Po izklopu strežnikov 9. julija 2012 bodo okuženi uporabniki imeli težave pri dostopu do interneta.

Opis

Leta 2007 je organizirana skupina uporabila zlonamerni program DNSChanger in z njim okužila približno 4 milijonov računalnikov v več kot 100 državah. Po podatkih SI-CERT je bilo v obdobju od novembra 2011 do junija 2012 v Sloveniji 76.000 različnih IP naslovov, ki so kazali znake okužbe (nekaj računalnikov je medtem že bilo očiščenih, posamezen okužen računalnik lahko skozi daljše obdobje uporablja več IP naslovov, zato je seveda dejansko število okuženih računalnikov manjše).

Novembra 2011 je ameriški FBI v sodelovanju z estonskimi organi pregona dosegel aretacijo skupine storilcev (operacija “[Ghost Click]”), ki so preko okuženih sistemov manipulirali s spletnimi oglasi in se na ta način okoristili za 14. mio USD. Pri tem je bil prevzet tudi nadzor nad DNS strežniki, ki jih je skupina uporabljala. Strežnike so nadomestili, saj bi ob odstranitvi strežnikov iz omrežja povzročili težave pri uporabi interneta milijonom okuženih uporabnikov. Po nekaj mesecih pa se bo to 9. julija 2012 vendarle zgodilo.

Priporočeni ukrepi

Vsem uporabnikom svetujemo, naj preverijo ali je njihove nastavitve DNS strežnikov spremenil DNSChanger trojanec. To lahko opravite preprosto preko obiska spletne strani dns-ok.si. Ob okuženem računalniku in spremenjenih DNS nastavitvah boste videli rdečo opozorilo, kar pomeni zelo verjetno okužbo. V tem primeru sledite navodilom na spletni strani (navedena so tudi kasneje v tem obvestilu). Če vidite zeleno obvestilo, potem vaš računalnik ni okužen.

Preverite, ali ste okuženi!

Odstranjevanje DNSChanger trojanca

Na spodnjem spisku najdete seznam programov, ki lahko trojanca odstranijo. Ker obstaja več različic DNSChanger trojanca, ni nujno, da posamezni program zna odstraniti vse. V tem primeru vam svetujemo naslednji postopek:

  1. Namestite enega od spodnjih programov.
  2. Sledite navodilom za namestitev in zagon programa. Nekateri programi svetujejo pregled celotnega računalnika, kar je priporočen ukrep.
  3. Ponovno zaženite računalnik
  4. Obiščite spletno stran dns-ok.si, da preverite ali je DNSChanger trojanec še vedno aktiven na vašem računalniku.
  5. Če je okužba še vedno prisotna, izberite drug program za odstranjevanje trojanca.

Programi za Microsoft Windows

Program za Mac OS X

Če odstranjevanje po zgoraj opisanem postopku ni uspelo, preverite nastavitve svojega usmerjevalnika. Nekatere različice DNSChanger trojanca so namreč znale spremeniti nastavitve domačega usmerjevalnika in tako izpostavile vse naprave (računalniki, mobilni telefoni, tiskalniki), ki preko njega dostopajo na internet. Med nastavitvami poiščite DNS strežnike in preverite, ali IP naslovi teh ustrezajo tistim, ki jih priporoča vaš ponudnik. Če so bili zapisi spremenjeni, jih popravite in zopet obiščite spletno stran dns-ok.si. Za pomoč pri preverjanju in spreminjanju DNS nastavitev na domačem usmerjevalniku se obrnite na svojega ponudnika.

Če nastavitve usmerjevalnika niso bile spremenjene, bo morda potrebna ponovna namestitev računalnika. Pred tem naredite varnostno kopijo pomembnih dokumentov.

Povezave

Preberite tudi

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več