Инциденты

Срок очистки от DNSChanger подходит к концу

Ну вот и все. Срок очистки каналов от DNSChanger подходит к концу. В понедельник 9 июля в соответствии с решением суда ФБР закончило предоставлять временные DNS-серверы, а ваша система может быть в числе тех, кто использует эти серверы. Существуют сайты (далеко не 100%-ной надежности), которые помогают определить, продолжает ли машина или маршрутизатор пользоваться настройками серверов DNSChanger. Эта ненадежность частично является следствием того, что основные магистральные провайдеры, сами того не желая, создали путаницу, а отчасти следствием неэффективной работы таких сайтов.
60 тысяч хостов в США все еще нуждаются в смене настроек DNS. Но сколько из этих систем действительно инфицировано? Никто не знает. Цифра может быть раздута. А может быть, ни одна из них не заражена. Или, наоборот, все заражены. Возможно, все системы локальной сети за роутером, домашней или корпоративной, или системы, которые очищены от вредоносных программ, но могут все еще содержать в себе следы заражения, продолжают использовать серверы Rove Digital для DNS-разрешений.
Другими словами, вероятно, у вас и не было воспаления легких, но кашель все равно есть. А значит, вы легко можете снова заболеть. Продукты некоторых разработчиков, например «Лаборатории Касперского», детектируют на инфицированных машинах искаженные с помощью DNSChanger настройки и предлагают изменить их и прописать в настройках «чистые» DNS-серверы. Эта стандартная операция перезагрузки DNS реализована в продуктах «Лаборатории Касперского» для домашних пользователей (версия 2010 и более поздние), а также в Kaspersky Endpoint Security 8.0: появляется всплывающее окно, которое сообщает о том, что обнаружен Trojan.Multi.DNSChanger.gen:

Просто нажмите «Да» и настройки DNS вашей сети будут переконфигурированы так, чтобы использовались сервисы, определенные DHCP, или чистые, открытые DNS-сервисы. Впрочем, после переконфигурации имеет смысл зайти на сайт www.dns-ok.us, чтобы проверить, не использует ли по-прежнему маршрутизатор вредоносную конфигурацию.

В этой ситуации с очисткой интересно то, что оборудование операторов уже арестовано. И кто-то, наверное, уже решил, что на этом истории конец. Однако за последние несколько лет было выпущено немало модификаций этого вредоносного ПО, что вызвало изменения настороек DNS, поддерживающих «угон кликов» и могло выключать функции обновления ОС и антивируса. Провайдеры делают все возможное, чтобы решить проблему законным образом, и предупреждают операторов о наличии инфицированных систем в сетях клиентов. Но это не значит, что конфигурация систем изменится или система станет чистой.

Черт возьми, даже названия организаций – и те упростили специально для СМИ. Все подставные компании, участвовавшие в истории, называются просто Rove Digital. Хотя на самом деле имен, под которыми действовали эти операторы (в Нью-Йорке, Калифорнии, России, Эстонии, Дании, на Кипре и на Украине), было гораздо больше. В список этих компаний попали организации, о которых вы, вероятно, никогда не слышали: Furox, Tamme Arendus, SPB Group, Cernel, Internet Path, Promnet Limited, ProLite Limited и Front Communications. В то время пока всех собак спускают на Rove Digital, миллионы долларов «якобы» циркулировали по этим организациям.

Случаи «угона кликов», рассматриваемые прокурорами, – это переадресация популярных запросов основных поисковиков (Google, Bing, Yahoo!): вместо ссылки на настоящий iTunes появлялась ссылка на подставной, вместо ссылки на Netflix – на миленькую подделку BudgetMatch, а вместо ссылки на IRS, сайт Службы внутренних доходов США, выдавалась «помощь в вопросах налогообложения H&R Block».
Если первичный провайдер вашей зоны не изменил разрешение DNS, вы можете зайти на сайт типа dns-ok.us и увидеть очень позитивную красную картинку, говорящую о том, что обнаружена модификация DNS-настроек, произведенная DNSChanger:

или, например, такую картинку:

Хотя зайдя на те же сайты на машине, которая была инфицирована и нуждается в полном лечении, вы увидите такую картинку:

Так вот. ИМХО, если вы считаете, что система была инфицирована с помощью DNSChanger и настройки DNS на вашей рабочей станции или маршрутизаторе были изменены, лучше всего поручить проверку своего компьютера программному обеспечению, загруженному с сайтов Рабочей группы по DNSChanger, а затем вручную исправить настройки домашнего или офисного маршрутизатора.

Срок очистки от DNSChanger подходит к концу

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике