Troianul DNSChanger care infectat calculatoare în peste 100 de ţări, dintre care peste 500.000 numai în Statele Unite îi lasă pe cei care sunt încă afectaţi fără Internet.

În luna noiembrie a anului trecut, FBI a reuşit să îi depisteze pe cei care au creat malwareul în Estonia şi a implementat o soluţie temporară, activă timp de 120 de zile, timp în care posesorii computerelor infectate au posibilitatea să scape de acest virus. Pe 8 martie se termină această perioadă de trei luni, iar toţi cei care au încă virusul prezent în sistem vor rămâne fără internet. Prin urmare, FBI-ul nu întrerupe internetul, ci salvează utilizatorii de acel virus.

Potrivit DNS Changer Working Group, 450.000 de computere încă sunt afectate de virus.

Agenţia de Administrare a Reţelei Naţionale de Informatică pentru Educaţie şi Cercetare RoCSIRT – RoEduNet CSIRT a pus la dispoziţia românilor un document pentru a depista şi elimina virusul din PC-uri încă de la finele anului trecut.  

Raport tehnic – DNSChanger

1. Scop

Acest document pune la dispoziția utilizatorilor informații despre detectarea și eliminarea malware-ului DNSChanger. Acest document a fost scris cu scopul de a ajuta la detectarea și eliminarea DNSChanger.

2. Despre document
Acest document este o adaptare a documentului original al cărui autor este CCIRC1. Versiunea originală a acestui document, este disponibilă (în limba engleză) la adresa: http://www.publicsafety.gc.ca/prg/em/ccirc/2011/in11-002-eng.aspx
1 http://www.publicsafety.gc.ca

3. DNSChanger
DNSChanger este un malware ce redirectează traficul unui utilizator către servere DNS aflate sub controlul infractorilor cibernetici, în locul celor legitime furnizate de către Furnizorul de Servicii Internet (ISP). DNSChanger schimbă setările DNS ale stației de lucru și acolo unde este posibil, folosind nume de utilizator și parole implicite, poate schimba configurația DNS a routerului, afectând astfel traficul tuturor stațiilor din rețeaua locală, indiferent dacă sunt sau nu infectate cu DNSChanger.
Analiza infrastructurii asociate cu DNSChanger a dus la descoperirea de malware cunoscut de către comunitatea antivirus ca TDSS, Alureon, Tidserv sau TDL4. Acest malware are capacitatea de a se sustrage detecției și este rezistent la încercările de ștergere, aceste caracterisitici ale sale fiind în mod regulat actualizate și schimbate de către autorii săi. Malware-ul schimbă un număr de chei din registrul Microsoft Windows astfel încât să fie sigur că va reporni de fiecare dată când stația de lucru este pornită. Una din versiuni infectează chiar o zonă de pe disc, numită MBR (Master Boot Record). Această zonă de pe disc este în mod normal prima care este citită de un calculator înainte de a încărca sistemul de operare. Din acest motiv, infectarea MBR necesită intervenții non-triviale pentru a putea fi curățată.

4. Acțiuni

4.1. Detectarea
Pentru a putea determina dacă calculatorul a fost infectat cu o variantă de DNS Changer, un utilizator trebuie să urmeze pașii de mai jos:

1. Identificarea setărilor DNS

a. Windows

i. Deschideți meniul de start

ii. Selectați Run

iii. Tipăriți: cmd.exe [si apasati ENTER]

iv. În fereastra nou deschisă scrieți urmatoarea comandă: ipconfig /all [și apăsați ENTER]
v. Cautați în informațiile furnizate liniile ce conțin “DNS Servers”. De obicei acestea sunt 2 sau 3 adrese IP. Notați aceste adrese IP.

b. Apple

i. Mergeți în System Preferences

ii. Selectați Network

iii. Selectați conexiunea folosită pentru acces la Internet (uzual AirPort sau Ethernet)

iv. Selectați Advanced

v. Selectați tab-ul DNS

vi. Notati adresele IP.

c. Router propriu

Malware-ul DNSChanger este de asemenea capabil să schimbe setările DNS a anumitor routere de tip SOHO (Small Office Home Office) cum ar fi: Linksys, D-Link, Netgear și Cisco, dacă numele de utilizator și parola sunt cele implicite. Pentru a depista dacă setările DNS ale routerului dvs au fost schimbate consultați manualul routerului, secțiunea “Servere DNS”. În cazul în care serverele DNS utilizate sunt în intervalul de adrese IP de mai jos, unul din calculatoarele conectate la routerul dvs este infectat cu DNSChanger.

2. Verificarea adreselor IP

Verificați dacă adresele IP ale serverelor DNS pe care le-ați notat, sunt în intervalul de adrese IP de mai jos, comparând numerele de la stanga la dreapta.

Dacă adresele IP nu încep cu:

– 85.255.*.*

– 67.210.*.*

– 93.188.*.*

– 77.67.*.*

– 213.209.*.*

– 64.28.*.*

atunci calculatorul dvs nu a fost infectat de nici una din variantele malware-ului DNS Changer.
4.2. Repararea
În afară de redirectarea traficului web al utilizatorilor către site-uri modificate, DNSChanger poate de asemenea afecta instalarea actualizărilor de securitate la nivelul sistemului de operare și al antivirusilor. Acest fapt ridică semnificativ riscul ca stația de lucru să fie de asemenea vulnerabilă la infectarea cu un alt malware. Utilizatorii care au motive să creadă că stația de lucru poate fi infectată trebuie să contacteze departamentul IT. Înainte de a se încerca repararea stației de lucru, este recomandată copierea fișierelor importante precum: documente, fotografii sau orice alte fișiere, pe medii externe de stocare (discuri externe, CD, DVD). Odată copiate, fișierele nu vor fi considerate de încredere până când nu vor fi scanate cu un antivirus recunoscut, ce are toate actualizările făcute.