Як витягнути DNSChanger з маршрутизатора

DNSChanger

Сьогодні ФБР розірвало зловмисні сервери, які обробляють трафік для комп'ютерів та систем, заражених шкідливим програмним забезпеченням DNSChanger - і, незважаючи на місяці попереджень, багато людей, які використовують заражені системи, були вибиті з Інтернету відключенням. (Деякі з уражених систем трохи бентежать: на транзитну систему Нью-Джерсі, очевидно, вплинуло відключення сьогодні вранці).

Однак, навіть якщо ваші ПК з ОС Windows не містять шкідливого програмного забезпечення DNSChanger (ви перевірили, чи не так), ви можете досі втратили зв’язок завдяки відключенню. Чому? Оскільки шкідливе програмне забезпечення, яке колись було гарно закріплено на нічого не підозрюючому ПК, також включало код для виявлення та спроби проникнути в будь-які маршрутизатори, які він знайшов у локальній мережі. Якщо DNSChanger вдалося потрапити в маршрутизатор, шкідливе програмне забезпечення змінило б налаштування DNS. Отже, навіть якщо DNSChanger буде видалено з оригінального зараженого комп'ютера, змінені налаштування DNS на маршрутизаторі можуть означати що завгодно в локальній мережі - включаючи ПК, Mac, смартфони, планшети, ігрові консолі та смарт-телевізори - DNSChanger може вплинути на них закрити.

Як працює DNSChanger

привид клацання

DNSChanger - робота естонської фірми Rove Digital; вперше він з’явився в Інтернеті ще в 2007 році, але все ще поширювався ще кілька місяців тому. Замість того, щоб діяти як шпигунське програмне забезпечення або сканувати комп’ютери користувачів на наявність конфіденційної інформації, DNSChanger змінив записи DNS-сервера на заражених комп’ютерах (і, іноді, виявив сусідні маршрутизатори), щоб вказати на неправдиві сервери імен під контролем авторів шкідливих програм, а не на DNS-сервери надається Інтернет-провайдером або організацією. Результат полягає в тому, що кожного разу, коли користувачі зараженої системи шукали сайт в Інтернеті (скажімо, www.digitaltrends.com або www.netflix.com) запит модерувався серверами Rove Digital - і це дозволило їм вводити власну рекламу на сторінки, отримані зараженими користувачами. Це, в свою чергу, принесло дохід для Rove Digital - на піку, за оцінками, DNSChanger заразив перевезення понад 4 мільйонів комп’ютерів по всьому світу, і, можливо, приніс цілих 15 мільйонів доларів підроблених рекламних доходів для Rove Digital.

Відключення ФБР означає, що ці неправдиві сервери імен зараз у режимі офлайн. Однак будь-які комп’ютери або маршрутизатори, на які впливає DNSChanger, будуть досі спробуйте надіслати їм запити на пошук. На сьогоднішній день вони взагалі не отримають відповіді, а це означає, що коли ці комп’ютери спробують знайти www.digitaltrends.com, вони не отримають відповіді - і вони не зможуть підключитися до сайту.

Спочатку перевірте на наявність інфекції

DNS Changer Check червоний

Перш ніж переглядати ваш маршрутизатор, спершу переконайтеся, що на всіх ПК у вашій мережі відсутні шкідливі програми DNSChanger. Зловмисне програмне забезпечення не нове, тому, якщо ви постійно оновлюєте визначення вірусів, ви повинні бути в безпеці. Однак обов’язково перевірте всі ПК, якими ви користуєтесь у своїй локальній мережі - навіть той старовинний ноутбук Windows XP у шафі, який ви більше ніколи не вмикаєте.

Робоча група DNSChanger створила веб-сайти виявлення, які могли негайно повідомляти користувачам, чи перебувають вони на ПК (або в мережі), на яких впливає DNSChanger, але з моменту відключення ФБР вони були відключені від мережі. Найкращий спосіб визначити, заражений ПК зараз, - це скористатися сучасним пакетом комп'ютерної безпеки або скористатися одним із безкоштовно інструменти, доступні від надійних постачальників систем безпеки, таких як Symantec, Microsoft, Kaspersky, Trend Micro, McAfee та інші, для видалення шкідливого програмного забезпечення. (DNSChanger - хитрий звір: для його видалення недостатньо просто перевстановити Windows або повернутися до резервної копії.)

Важливо бути впевненим, що всі ПК у вашій мережі вільні від DNSChanger, перш ніж намагатися вирішити проблеми з маршрутизатором: інакше активна інфекція DNSChanger може просто знову зіпсувати ваш маршрутизатор.

DNSChanger - це лише шкідливе програмне забезпечення для Windows: немає необхідності перевіряти наявність інфекцій на комп'ютерах Mac, телефонах, планшетах, консолях чи інших пристроях, які не є Windows, які можуть бути у вашій мережі.

Перевірте налаштування DNS маршрутизатора

Коли DNSChanger атакує маршрутизатори, насправді це не так інфікувати їх - тобто шкідливе програмне забезпечення не встановлюється на маршрутизаторі, а потім поширюється з маршрутизатора на інші пристрої. Швидше, він змінює налаштування DNS на маршрутизаторах для надсилання запитів на пошук через неправдиві сервери імен. Отже, ви хочете увійти у свій маршрутизатор, перевірити налаштування та (при необхідності) змінити їх на працюючі сервери імен;

На жаль, особливості пошуку налаштувань DNS для домашнього маршрутизатора сильно відрізняються залежно від провайдера та типу домашньої мережі, яку ви використовуєте. У багатьох людей дуже прості домашні мережі, а в інших складніше. (Наприклад, моя домашня мережа має чотири маршрутизатори на ньому - і всі мають химерні конфігурації, і практично в моїй мережі не використовується динамічна адресація.) Однак основи однакові:

Увійдіть у свій маршрутизатор: Майже всі сучасні маршрутизатори можна налаштувати за допомогою веб-інтерфейсу. Для більшості домашніх маршрутизаторів D-Link та NetGear користувачі локальної мережі можуть отримати доступ до сторінки конфігурації тут:

//198.168.0.1/

Маршрутизатори Linksys часто налаштовані на використання:

//198.162.1.1/

Більшість інших домашніх маршрутизаторів використовують одну з цих двох адрес за замовчуванням; якщо жодна з цих адрес не працює, перевірте інформацію про встановлення, що постачається разом із маршрутизатором або від вашого провайдера.

Знайдіть налаштування DNS маршрутизатора: Веб-інтерфейси, пропоновані маршрутизаторами, сильно відрізняються - і іноді суттєво змінюються з оновленнями. Увійшовши в маршрутизатор, ви, як правило, хочете знайти сторінку або вкладку для "Основних налаштувань", "Інтернет-налаштувань", "Інтернет-налаштування" або "Налаштування глобальної мережі". У рамках цього ви хочете знайти записи для «Сервери доменних імен», «DNS-сервери» або «Налаштування DNS».

Ось приклад зі старішого маршрутизатора LinkSys:

DNS-сервери маршрутизатора Linksys (DNSChanger)

Ось приклад нещодавнього маршрутизатора NetGear:

Сервери DNS маршрутизатора Netgear (DNSChanger)

Ваш маршрутизатор може бути налаштований на автоматичне отримання інформації про DNS від вашого провайдера - це також називається "динамічним DNS". У такому випадку вам не потрібно нічого міняти. (Поки ваш Інтернет-провайдер не інфікований DNSChanger або не надає неправдиву інформацію, ви будете в порядку.)

Якщо ваш маршрутизатор використовує ручну конфігурацію DNS - або “статичний DNS” - ​​ви повинні побачити принаймні два місця для входу на DNS-сервери - вони часто мають позначення “основний” та “вторинний”. (Маршрутизатори та більшість інших пристроїв налаштовані на використання кількох серверів DNS: у випадку, якщо один з них перестане працювати, вони перейдуть на інший.) Швидше за все, вони будуть виражені у чотирьох текстових полях, по одному для кожної частини IPv4 IP-адреси.

Перевірте значення: Порівняйте значення DNS-сервера у вашому маршрутизаторі з цим списком:

64.28.176.0до64.28.191.255
67.210.0.0до67.210.15.255
77.67.83.0до77.67.83.255
85.255.112.0до85.255.127.255
93.188.160.0до93.188.167.255
213.109.64.0до213.109.79.255

Щоб побачити, чи є збіг, почніть з самого лівого числа в IP-адресах вашого маршрутизатора і пройдіть через адресу праворуч. Наприклад, якщо одним із ваших DNS-серверів був 64.28.111.0, ви б побачили, що 64 відповідає першому діапазону адрес, перерахованому вище. Перевіряючи далі, 28 сірники теж! Але 111 є ні в межах від 176 до 191 для третьої частини адреси, щоб ви були в безпеці. З іншого боку, якщо адреси вашого DNS-сервера починаються з (скажімо) 205 Вам не потрібно перевіряти далі: жодного зловмисного сервера не було в діапазоні адрес 205.

(Якщо у вас є доступ до Інтернету, ви також можете ввести DNS-адреси вашого маршрутизатора в службі пошуку на веб-сайті ФБР - він робить ту саму перевірку, зазначену вище.)

Оновіть свої DNS-сервери: Якщо DNS-сервери у вашому маршрутизаторі робити потрапляючи в діапазон вище, вам потрібно змінити їх, щоб відновити доступ до Інтернету. Ваш провайдер повинен надати інформацію про те, як налаштувати ваш маршрутизатор, включаючи рекомендовані DNS-сервери. Знайдіть цю інформацію, введіть правильні адреси сервера (їх буде принаймні дві!) Та збережіть зміни.

Якщо ви не можете знайти інформацію про DNS-сервер свого провайдера, ви можете використовувати безкоштовну службу DNS від Google як альтернативу: введіть адреси 8.8.8.8 і 8.8.4.4 як ваш основний і вторинний DNS-сервери. Навіть якщо вам не зручно надсилати свої запити DNS до Google, використання DNS-серверів Google принаймні дозволить вам відновити ваш маршрутизатор, щоб ви могли увійти в зону підтримки свого провайдера (або зв’язатися з ними безпосередньо), щоб отримати бажані DNS-сервери .

Змініть пароль маршрутизатора

Як DNSChanger змінив домашні маршрутизатори взагалі? Більшість маршрутизаторів постачаються із іменем користувача та паролем за замовчуванням, тому нові користувачі можуть увійти до них та налаштувати їх, коли вони виймають їх з коробки. Незважаючи на те, що новіші маршрутизатори мають більш складні підходи, коли DNSChanger вперше з'явився, буквально мільйони маршрутизаторів відправлялися з заводів, використовуючи лише кілька імен користувачів та паролів. Більшість домашніх користувачів ніколи не змінювався ці облікові дані - отже, коли зловмисне програмне забезпечення DNSChanger знайде домашній маршрутизатор, воно, по суті, спробує поєднання імені користувача та пароля за замовчуванням і сподівається, що йому пощастило.

Якщо DNS-сервери вашого маршрутизатора були змінені DNSChanger, він, ймовірно, потрапив до використання одного з цих паролів за замовчуванням. Поки ви знаходитесь у конфігурації маршрутизатора, змініть пароль та (де це можливо) ім’я користувача на маршрутизаторі на щось більш безпечне. Дотримуйтесь тих самих правил, які ви використовували б для будь-якого іншого пароля: не використовуйте повсякденних слів, не використовуйте легко вгадувані речі, такі як дні народження чи імена родичів чи домашніх тварин, і використовуйте довгі паролі, а не короткі.

Останні повідомлення