Hlavní navigace

8. březen, den kdy FBI vypne Internet

Daniel Dočekal 21. 2. 2012

8. března se FBI chystá vypnout DNS servery vytvořené autory malware postaveného na viru/trojanu s příznačným jménem DNSChanger. Podvodné aktivity estonské skupiny byly ukončeny v listopadu loňského roku a součástí aktivit malware byla změna nastavení DNS serverů v počítačích napadených uživatelů.

Právě falešné DNS servery pak umožňovaly podvrh jiné IP adresy místo té správné a přesměrování na zcela jiné místo, než původně uživatel chtěl. Součástí aktivit bylo šíření dalšího malware a hlavně zobrazování inzerce – právě z této činnosti měla skupina nemalé příjmy. Vedle změny DNS se navíc instalované malware postaralo o zamezení aktualizace operačního systému a funkčností antivirového/bez­pečnostního software.

Po zásahu FBI nahradilo falešné DNS servery dočasnými vlastními, ale pouze na dobu 120 dní. Konec této doby se blíží a právě 8. března budou dočasné servery odstavené – pro některé uživatele to tak může skutečně přinést den, kdy „FBI vypne Internet“. Jejich počítače, stále nakažené původním malware, přestanou být schopné převádět názvy na IP adresy.

Je váš počítač napaden?

Jak poznáte, že je váš počítač napaden? Není to tak jednoduché, předmětné malware se umí dobře skrývat. Zkusit můžete Avira DNS Repair Tool  alespoň pro zjištění, jestli používáte právě ony podvržené DNS servery. Nedojde tak ale k odstranění malware. Nejbezpečnější způsob spočívá v reinstalaci operačního systému a kompletní instalaci všech potřebných programů znovu.

Pokud nechcete zkusit pomůcku od Aviry (funguje tak jako tak jenom ve Windows, malware fungovalo i pro Mac OSX), můžete si nastavení DNS serverů ověřit ručně. Ve Windows k tomu můžete použít příkazovou řádku a příkaz „ipconfig /all“, případně se podívat na nastavení síťové karty (což můžete udělat například na Mac OSX). Dál to je trochu složitější, protože rozsah IP adres, které používali tvůrci malware, je poněkud široký:

Počáteční adresa Koncová adresa
77.67.83.1 77.67.83.254
85.255.112.1 85.255.127.254
67.210.0.1 67.210.15.254
93.188.160.1 93.188.167.254
213.109.64.1 213.109.79.254
64.28.176.1 64.28.191.254

Samotné FBI nabízí PDF s názvem DNSChanger Malware s pár dalšími užitečnými informacemi. V něm se mimo jiné dočtete, že malware napadalo nejenom počítače, ale v řadě případů mohlo napadnout i router, tedy zařízení, které vás připojuje k Internetu.

Jak odstranit malware z počítače

Samotná změna nastavení DNS Serverů na správné samozřejmě nestačí, počítač či router je nadále infikovaný. Odstranit DNSChanger je poměrně obtížné, ale některé z antivirových řešení to umožňují – zpravidla se ale připravte na nutnost spuštění počítače z opravného CD nebo USB klíčenky, odstranění z počítače, na kterém DNSChanger běží, je nereálné.

Zajímavé na DNSChagner malware je i to, že se poprvé objevil už někdy v roce 2007 a podařilo se mu nakazit miliony počítačů – tvůrcům aktivity s ním spojeném přinesly na 14 milionů dolarů. V listopadu FBI jejich činnost ukončilo v rámce Operation Ghost Click.

Na Mac OSX se toto malware vyskytovalo nejčastěji v podobě OSX.RSPlug.A, OSX/Puper a OSX/Jahlav-C a k šíření docházelo jednou z nejklasičtějších cest – falešný video kodek pro QuickTime, zpravidla se vyskytující na porno webech.  Právě pro Mac OSX je možné zkusit  DNSChanger Trojan removal tool.

EBF16

Na Windows se toto malware objevilo v řadě různých variant a na Internetu najdete řadu různých pomůcek, které uvádějí, že je mohou odstranit. Doporučil bych zůstat u pomůcek, které poskytuje výrobce vašeho antivirového software, pokud je poskytuje (viz například Norton Power Eraser). V řadě případů se „odstraňovač“ malware může ve skutečnosti ukázat jako další malware.

Zajímavé je například ale i to, že novější verze malware dokázaly do počítačových sítí protlačit falešné DHCP servery (viz Rogue DHCP servers) – přestalo tak být nutné měnit nastavení DNS serverů přímo v počítačích, postačilo pomocí falešného DHCP serveru potřebné IP adresy počítačům kdykoliv znovu a znovu dodávat.

Našli jste v článku chybu?
Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě