DNSChanger: проблема удаления зловреда с 4 миллионов зараженных машин — продолжение

Призрак объявленной ФБР в ноябре 2011 года и надолго затянувшейся операции «Ghost Click», в рамках которой делаются попытки вылечить компьютеры, входящие в ботнет Rove Digital (мы уже писали про эту операцию), по-прежнему не дает покоя интернету и средствам массовой информации. Опубликованные на днях статьи в Forbes и Time снова вывели привидение на передний край. В одном из этих материалов содержалось неверное утверждение о новизне созданного рабочей группой по DNSChanger (DNSChanger Working Group) сайта, посвященного этой вредоносной программе. Операция 2011 года, о которой мы здесь говорим, временные подменные DNS-серверы, поддерживаемые аутсорсером, и задержка с лечением зараженных машин — все это одна и та же история. В этом призраке нет ничего сверхъестественного — так к чему столько слов? Решение федерального судьи, позволяющее ФБР использовать подменные DNS-серверы, в любом случае требует отключить эти серверы в начале июля. Когда эти серверы (принадлежавшие раньше компании Rove Digital) перестанут действовать, обработка DNS-запросов, посылаемых с зараженных компьютеров, прекратится. Девятое июля наступит совсем скоро, а в данный момент продолжается отправка уведомлений по поводу все еще зараженных машин, число которых достигает сотен тысяч в одних только Соединенных Штатах.

Говоря совсем просто, соединение зараженных DNSChanger компьютеров с интернетом никуда не денется, однако машины, на которых вредоносная программа остается активной, не смогут этим соединением воспользоваться. В США зараженные вредоносной программой компьютеры, используемые органами власти, домашними пользователями и организациями, не смогут открывать сайты, отправлять электронную почту и т.д. Выглядеть все будет так, как будто соединение с сетью у них установлено, но на практике обмен данными с интернет-ресурсами будет невозможен.

В то же время, по-видимому, налицо проблемы с идентификацией зараженных компьютеров. Я заразил компьютер DNSChanger и посетил сайт dns-ok.us. Вот результат:

Что касается «зеленого» результата проверки на ресурсе dns-ok, служба поддержки моего интернет-провайдера ничего не слышала о «переадресации DNS», способной привести к такому результату. Если появится новая информация от администратора нашей сети о переадресации моих DNS-запросов (что очень маловероятно), я дополню ею этот пост. Другими словами, владельцев зараженных машин эта проверка может ввести в заблуждение. Замечу, что IP-адрес в моем случае находился в рамках указанного ФБР диапазона адресов, которые были под контролем Rove Digital — возможно, читатель знает что-то такое, чего не знаю я?

АПДЕЙТ— я получил кое-какую информацию от сетевого администратора моего локального интернет-провайдера. Они сами не переадресуют никакие DNS-запросы. Однако одна из двух магистральных сетей, через которые они подключены к интернету, переадресует DNS-запросы на свой собственный DNS-сервер. Вторая магистральная сеть, обеспечивающая доступ в интернет, судя по всему, не переадресует DNS-запросы. Получается, что трафик моего зараженного программного клиента предпочитает ходить через более крупную сеть — вот вам и «зеленый» ответ на мое заражение. К сожалению, подобные ситуации вносят путаницу в работу по ликвидации заражения. Поэтому я хочу обратиться ко всем пользователям компьютеров, зараженных DNSChanger (а их, возможно, миллионы), которым консультанты по борьбе с киберугрозами цинично твердят, что антивирусы исчерпали себя. Не слушайте их, загрузите на свой компьютер антивирусный продукт http://www.dcwg.org/fix/ и проверьте с его помощью свою систему. Конечно, я с радостью рекомендую наше решение (его можно загрузить с сайта www.kaspersky.ru), потому что с его помощью я чистил компьютеры, зараженные DNSChanger (надо иметь в виду, что пробные версии продуктов «Лаборатории Касперского» имеют весь функционал коммерческих версий), прибегая к нашей утилите для удаления руткитов TDSSKiller для лечения особенно сложных заражений DNSChanger.