Конец DNSChanger-зловреда

Операция ФБР под названием “Operation Ghost Click”, о которой мой коллега Курт рассказывал здесь и здесь, наконец подходит к завершению.

В понедельник, 9 июля в 06:00 центрально-европейского времени, будут отключены врЕменные DNS-серверы, установленные ФБР. В то же время заражёнными остаются тысячи компьютеров. Очевидный вопрос — что же будет с ними?

У каждого компьютера в интернете есть свой уникальный адрес — IP-адрес. Существует две версии IP-адресов:

IPv4 — 32-битный адрес, например 195.122.169.23,
и
IPv6 — 128-битный адрес, например 2001:db8:85a3:8d3:1319:8a2e:370:7347.

Очевидно, что такие адреса запоминать гораздо сложнее, чем всем привычные доменные имена сайтов, такие как “kaspersky.com”. Чтобы переводить удобные для пользователей доменные имена в соответствующие им IP-адреса серверов, была создана так называемая Система доменных имён.

Вредоносная программа DNSChanger производит на зараженной машине подмену DNS-серверов своими собственными (см. пресс-релиз ФБР).

Это делается для того, чтобы облегчить «угон кликов». «Угон кликов» — это технология, с помощью которой зараженные пользователи перенаправляются на рекламные веб-сайты, связанные с киберпреступниками, а также на так называемую «Advertising Replacement» (подменную рекламу) (реклама на легитимных веб-сайтах подменяется другой рекламой, созданной киберпреступниками).

К счастью, ФБР поймало злоумышленников и установило врЕменные DNS-серверы взамен вредоносных серверов, чтобы заражённые компьютеры не оказались отключенными от интернета.

Однако это временное решение действует только до вечера понедельника, когда эти серверы будут отключены. После этого заражённые компьютеры больше не смогут резолвить доменные имена, чтобы подключиться, например, к какому-нибудь веб-сайту.

Естественно, если вы знаете IP-адрес нужного вам сервера, вы можете использовать его вместо доменного имени сайта; например вместо адреса “www.securelist.com” можно впечатать в строку браузера IP-адрес 195.122.169.23. Но это не самое простое решение.

Нам хотелось бы подчеркнуть, что несмотря на поднятую вокруг этой темы шумиху, повода для паники нет. Решить проблему можно довольно просто — читайте далее.

Прежде всего, может быть интересным тот факт, что в 2012 году мы зафиксировали 101 964 попытки DNSChanger-зловреда заразить наших пользователей.

Но есть хорошая новость: эти попытки заражения были заблокированы, а количество таких попытокстановится меньше.

Так как же проверить, заражен ваш компьютер DNSChanger или нет?

Рабочая группа по DNSChanger (The DNS Changer Working Group) публикует полезную информацию на своем сайте http://www.dcwg.org/detect/. Ранее мы уже сообщали, что автоматические установки сайта не всегда идеально распознают факт заражения. Так что лучше вручную проверить IP-адреса DNS-серверов.

Если вы обнаружили, что ваш компьютер заражен, вы можете изменить адреса DNS-серверов на адреса бесплатных DNS-серверов Google: 8.8.8.8 и 8.8.4.4. OpenDNS предлагает еще два адреса: 208.67.222.222 и 208.67.220.220 — их мы тоже рекомендуем ввести для дополнительной безопасности.

Но, конечно, лучшее решение — это установка защитного решения, которое способно распознать и удалить инфекцию и исправить адреса DNS-серверов.

Поскольку во многих случаях заражение DNSChanger-зловредом сопровождается заражением TDSS — весьма мерзким руткитом, для его детектирования и удаления можно также использовать нашу утилиту Kaspersky TDSSKiller.