Como detectar e consertar uma máquina infectada com DNSChanger

Em 9 de julho, o FBI fechará uma rede de servidores DNS que muitas pessoas têm dependido para um acesso adequado à Internet. Esses servidores eram originalmente parte de um golpe onde um grupo criminoso de cidadãos estonianos desenvolveu e distribuiu um pacote de malware chamado DNSChanger, mas que o FBI apreendeu e converteu em um serviço DNS legítimo.

Esse golpe de malware foi difundido o suficiente para que até mesmo empresas como Google e Facebook e vários ISPs como Comcast, COX, Verizon e AT & T se unissem para ajudar a removê-lo, emitindo notificações automáticas aos usuários de que seus sistemas são configurado com a rede DNS invasora.

Se você recebeu recentemente um aviso ao realizar uma pesquisa no Google, navegar no Facebook ou usar a Web de alguma forma que alegue que seu sistema está comprometido, convém dar alguns passos para verificar se o malware está presente no sistema. Isso pode ser feito de várias maneiras. Primeiro, você pode verificar as configurações de DNS em seu sistema para ver se os servidores que seu computador está usando fazem parte da rede DNS desonesta.

Nos sistemas Mac, abra as preferências do sistema de Rede e, para cada serviço de rede (Wi-Fi, Ethernet, Bluetooth, etc.), selecione o serviço e clique no botão "Avançado". Siga isso selecionando a guia "DNS" e anotando os servidores DNS listados. Você também pode fazer isso no Terminal executando primeiro o seguinte comando:

networksetup -listallnetworkservices

Depois que esse comando for executado, execute o seguinte comando em cada um dos nomes listados (certifique-se de remover qualquer asterisco na frente dos nomes e assegure-se de que os nomes estejam entre aspas, se houver algum espaço):

networksetup -getdnsservers "NOME DO SERVIÇO"

Repita este comando para todos os serviços listados (especialmente conexões Ethernet e Wi-Fi) para listar todos os servidores DNS configurados.

Em uma máquina Windows (incluindo qualquer uma que você tenha instalado em uma máquina virtual), você pode abrir a ferramenta de linha de comando (selecione "Executar" no menu Iniciar e digite "cmd" ou no Windows 7 selecione "Todos os Programas" "e escolha a linha de comando na pasta Acessórios). Na linha de comando, execute o seguinte comando para listar todas as informações da interface de rede, incluindo os endereços IP do servidor DNS configurados:

ipconfig / all

Depois de ter os servidores DNS do sistema listados, insira-os na página da Web do verificador de DNS do FBI para ver se eles são identificados como parte da rede DNS desonesta. Além de procurar manualmente e verificar suas configurações de DNS, surgiram vários serviços da Web que testarão seu sistema quanto ao malware DNSChanger. O DNSChanger Working Group compilou uma lista de muitos desses serviços, que você pode usar para testar seu sistema (para aqueles que estão nos EUA, você pode ir para dns-ok.us para testar sua conexão).

Se esses testes surgirem limpos, você não terá nada com que se preocupar; no entanto, se eles fornecerem avisos, você poderá usar um scanner anti-malware para verificar e remover o malware DNSChanger. Dado que o malware foi abruptamente interrompido em novembro de 2011, houve bastante tempo para as empresas de segurança atualizarem suas definições de antimalware para incluir todas as variantes do DNSChanger. Se você tiver um scanner de malware e não o tiver usado recentemente, execute-o e atualize-o totalmente, seguido por uma verificação completa do sistema. Faça isso para todos os PCs e Macs da sua rede e, além disso, verifique as configurações do seu roteador para ver se as configurações de DNS do seu ISP são adequadas ou se são configurações de DNS mal-intencionadas.

Se o seu roteador ou computador não estiver exibindo nenhum endereço de servidor DNS válido após você ter removido o malware e seu sistema não conseguir se conectar aos serviços da Internet, tente configurar o sistema para usar um serviço DNS público, como os do OpenDNS e o Google, inserindo os seguintes endereços IP nas configurações de rede do seu sistema:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Se, depois de segunda-feira, você não conseguir mais acessar a Internet, é provável que seu sistema ou roteador de rede ainda esteja configurado com os servidores DNS desonestos e você precisará tentar novamente detectar e remover o malware de seus sistemas. Felizmente, o malware não é de natureza viral, por isso não se auto-propagará e automaticamente infectará novamente os sistemas. Portanto, uma vez removidos e depois que os usuários configurarem servidores DNS válidos em seus sistemas, os computadores afetados devem ter acesso adequado à Internet.

Histórias relacionadas

  • FBI aborda esquema de malware do DNSChanger
  • Operação Ghost Clique em servidores DNS para permanecer on-line até julho
  • Web pode desaparecer por hordas de pessoas em julho, alerta FBI
  • O Google alertará os usuários sobre a infecção por malware DNSChanger
  • Nova variante de Trojan DNSChanger segmenta roteadores

fundo

O DNS é o "Sistema de Nomes de Domínio", que age como o catálogo telefônico da Internet e traduz URLs amigáveis ​​para o ser humano, como "www.cnet.com", em seus respectivos endereços IP que computadores e roteadores usam para estabelecer conexões. Como o DNS é a interface entre o URL digitado e o servidor de destino, o anel criminal criou sua própria rede DNS que normalmente funcionaria em grande parte, mas também permitiria que o anel redirecionasse arbitrariamente o tráfego de URLs específicos para sites falsos para o para roubar informações pessoais ou fazer com que as pessoas cliquem nos anúncios.

Configurar a rede DNS não é suficiente, já que esta rede precisa ser especificada nas configurações de um computador para ser usada. Para que isso acontecesse, o anel criminal criou o malware DNSChanger (também chamado de RSplug, Puper e Jahlav), que foi distribuído como um cavalo de tróia e infectou com sucesso milhões de sistemas de PC em todo o mundo. Uma vez instalado, esse malware alteraria continuamente as configurações de DNS do computador afetado e até mesmo dos roteadores de rede, para apontar para a rede DNS desonesta do anel do crime. Como resultado, mesmo que as pessoas alterassem manualmente as configurações de DNS de seus computadores, essas alterações seriam automaticamente revertidas pelo malware em seus sistemas.

Como milhões de usuários de PC haviam sido infectados por esse malware, uma vez que a rede criminosa foi derrubada em uma operação multilateral de novembro de 2011 chamada Operation Ghost Click, o FBI e outras autoridades governamentais decidiram não desligar a rede DNS desonesta, pois isso teria impedido instantaneamente os sistemas infectados de resolver URLs e, portanto, teriam efetivamente desativado a Internet para eles. Em vez disso, a rede do DNS foi mantida ativa e convertida em um serviço legítimo, enquanto foram implementados esforços para notificar os usuários sobre o malware DNSChanger e esperar que o número de infecções em todo o mundo diminuísse.

Inicialmente, a rede de DNS desonesta estava prevista para o fechamento em março deste ano; No entanto, embora a taxa de infecções tenha caído significativamente depois que a rede criminosa foi desmantelada, o número de computadores infectados permaneceu relativamente alto, de modo que o FBI estendeu o prazo para 9 de julho (na próxima segunda-feira). Infelizmente, mesmo com a aproximação deste prazo, milhares de sistemas de PC em todo o mundo ainda estão infectados com o malware DNSChanger, e quando os servidores são desligados, esses sistemas não poderão mais resolver URLs para endereços IP.

Publicações Populares

Geotagging suas fotos digitais

Como usar a pesquisa do Spotlight no iOS 8 para encontrar mais resultados

5 acessórios para celular que facilitam a viagem

Como personalizar ícones de pastas no Windows 7

Como desbloquear o tema sombrio secreto do Pixel 2

O Foursquare acelera o processo de check-in no aplicativo para iPhone

 

Deixe O Seu Comentário