DNS Changer niczym pluskwa milenijna

Międzynarodowe służby do spraw ochrony bezpieczeństwa internetowego, w ostatnich dniach świętowały sukces udanej akcji, podczas której została pojmana grupa cyber-przestępców odpowiedzialna za zainfekowanie licznych stron i serwerów, poprzez tzw. mechanizm „DNS Changer”. Operacja ta nosiła nazwę „Operation Ghost Click”.

Był to jednak sukces połowiczny. Funkcjonariuszom FBI udało się przejąć dostępy do serwerów używanych przez pojmanych spec-hakerów, jednak nie byli w stanie oczyścić komputerów, które do tej pory znalazły się pod wpływem złośliwego wirusa.  Na tym etapie działań operacyjnych kluczowe jest to, aby jak najszybciej dotrzeć do właścicieli zainfekowanych komputerów, na których wirus dokonał zmian ustawień DNS, a które nie zostały przez nich autoryzowane.

Bardzo istotną kwestią jest to, aby jak najszybciej dotrzeć do tej grupy przed 8 marca 2012, ponieważ właśnie tego dnia FBI całkowicie wyłączy przejęte serwery. Pozwoli to na zatrzymanie dalszego rozprzestrzeniania się złośliwego oprogramowania, jednak prawdopodobnie uniemożliwi prawidłowe funkcjonowanie komputerów i sieci tych osób, które nie zweryfikowały swoich ustawień DNS.

Wyróżniamy dwa rodzaje mechanizmów opartych o „DNS Changer”:

a)  Pierwszy z nich ma miejsce, gdy wirus modyfikuje ustawienia DNS na zainfekowanym komputerze z systemem Windows –zmiany obejmują ustawienia hosta pliku oraz ustawienia protokołu DHCP.

Jeśli ustawienia DNS zostały zmienione, użytkownik nie uzyska dostępu do żądanej strony za pomocą jakiejkolwiek przeglądarki internetowej. W efekcie, użytkownik zostaje przekierowany przez e-napastnika do wcześniej zdefiniowanej przez niego witryny.

b) Drugi z nich ma miejsce, gdy wirus modyfikuje nazwy ustawień systemowych routera, co oznacza, że zmiany ustawień DNS nie są wprowadzane bezpośrednio na zagrożonym komputerze, a na routerze, który jest np. odpowiedzialny za połączenie sieci domowej z Internetem.

Wirus ten jest dodatkowo wyposażony w listę loginów i haseł dostępowych, do większości najbardziej popularnych routerów na rynku. Dzięki temu napastnik bez większego problemu może uzyskać dostęp do interfejsu routera, dokonując dowolnych zmian.

Taki atak nie byłby możliwy, gdyby użytkownicy zmieniali loginy i hasła dostępowe zaraz po podłączeniu ich do sieci. Jak jednak pokazuje praktyka, większość użytkowników, jak i administratorów sieci nie dba o tego typu „szczegóły”. Dzięki temu hakerzy są w stanie dowolnie zmieniać i modyfikować ustawienia DNS, co pozwala im na przejęcie kontroli praktycznie nad każdym użytkownikiem Internetu.

Co więc dokładnie wydarzy się 8 marca 2012?

FBI zamknie przejęte serwery, które w chwili obecnej są pod ich nadzorem, co oznacza, że wszyscy użytkownicy, którzy:

- są zainfekowani przez wirusa „DNS changer”

- nie przywrócili swoich ustawień DNS do stanu „normalnego”, lub domyślnego

mogą się zetknąć z problemami nieprawidłowego funkcjonowania stron www i serwerów, na skutek tego iż FBI całkowicie wyłączy przejęte serwery.

Jak można sprawdzić czy i nasz komputer nie uległ atakowi?

Przede wszystkim przeskanuj cały system odpowiednim oprogramowaniem antywirusowym np. G Data Internet Security 2012. Jeśli Twoje oprogramowanie antywirusowe wykryje jakieś podejrzane zmiany w Twoich ustawieniach systemowych, otrzymasz czerwony alert potwierdzający obecność wrogiego oprogramowania.

Dodatkowo koniecznie sprawdź ustawienia:

• pliku „hosts”
• DHCP
• przeglądarki internetowej
• routera