Hlavní navigace

8. březen, den kdy FBI vypne Internet

Daniel Dočekal

8. března se FBI chystá vypnout DNS servery vytvořené autory malware postaveného na viru/trojanu s příznačným jménem DNSChanger. Podvodné aktivity estonské skupiny byly ukončeny v listopadu loňského roku a součástí aktivit malware byla změna nastavení DNS serverů v počítačích napadených uživatelů.

Právě falešné DNS servery pak umožňovaly podvrh jiné IP adresy místo té správné a přesměrování na zcela jiné místo, než původně uživatel chtěl. Součástí aktivit bylo šíření dalšího malware a hlavně zobrazování inzerce – právě z této činnosti měla skupina nemalé příjmy. Vedle změny DNS se navíc instalované malware postaralo o zamezení aktualizace operačního systému a funkčností antivirového/bez­pečnostního software.

Po zásahu FBI nahradilo falešné DNS servery dočasnými vlastními, ale pouze na dobu 120 dní. Konec této doby se blíží a právě 8. března budou dočasné servery odstavené – pro některé uživatele to tak může skutečně přinést den, kdy „FBI vypne Internet“. Jejich počítače, stále nakažené původním malware, přestanou být schopné převádět názvy na IP adresy.

Je váš počítač napaden?

Jak poznáte, že je váš počítač napaden? Není to tak jednoduché, předmětné malware se umí dobře skrývat. Zkusit můžete Avira DNS Repair Tool  alespoň pro zjištění, jestli používáte právě ony podvržené DNS servery. Nedojde tak ale k odstranění malware. Nejbezpečnější způsob spočívá v reinstalaci operačního systému a kompletní instalaci všech potřebných programů znovu.

Pokud nechcete zkusit pomůcku od Aviry (funguje tak jako tak jenom ve Windows, malware fungovalo i pro Mac OSX), můžete si nastavení DNS serverů ověřit ručně. Ve Windows k tomu můžete použít příkazovou řádku a příkaz „ipconfig /all“, případně se podívat na nastavení síťové karty (což můžete udělat například na Mac OSX). Dál to je trochu složitější, protože rozsah IP adres, které používali tvůrci malware, je poněkud široký:

Počáteční adresa Koncová adresa
77.67.83.1 77.67.83.254
85.255.112.1 85.255.127.254
67.210.0.1 67.210.15.254
93.188.160.1 93.188.167.254
213.109.64.1 213.109.79.254
64.28.176.1 64.28.191.254

Samotné FBI nabízí PDF s názvem DNSChanger Malware s pár dalšími užitečnými informacemi. V něm se mimo jiné dočtete, že malware napadalo nejenom počítače, ale v řadě případů mohlo napadnout i router, tedy zařízení, které vás připojuje k Internetu.

Jak odstranit malware z počítače

Samotná změna nastavení DNS Serverů na správné samozřejmě nestačí, počítač či router je nadále infikovaný. Odstranit DNSChanger je poměrně obtížné, ale některé z antivirových řešení to umožňují – zpravidla se ale připravte na nutnost spuštění počítače z opravného CD nebo USB klíčenky, odstranění z počítače, na kterém DNSChanger běží, je nereálné.

Zajímavé na DNSChagner malware je i to, že se poprvé objevil už někdy v roce 2007 a podařilo se mu nakazit miliony počítačů – tvůrcům aktivity s ním spojeném přinesly na 14 milionů dolarů. V listopadu FBI jejich činnost ukončilo v rámce Operation Ghost Click.

Na Mac OSX se toto malware vyskytovalo nejčastěji v podobě OSX.RSPlug.A, OSX/Puper a OSX/Jahlav-C a k šíření docházelo jednou z nejklasičtějších cest – falešný video kodek pro QuickTime, zpravidla se vyskytující na porno webech.  Právě pro Mac OSX je možné zkusit  DNSChanger Trojan removal tool.

Na Windows se toto malware objevilo v řadě různých variant a na Internetu najdete řadu různých pomůcek, které uvádějí, že je mohou odstranit. Doporučil bych zůstat u pomůcek, které poskytuje výrobce vašeho antivirového software, pokud je poskytuje (viz například Norton Power Eraser). V řadě případů se „odstraňovač“ malware může ve skutečnosti ukázat jako další malware.

Zajímavé je například ale i to, že novější verze malware dokázaly do počítačových sítí protlačit falešné DHCP servery (viz Rogue DHCP servers) – přestalo tak být nutné měnit nastavení DNS serverů přímo v počítačích, postačilo pomocí falešného DHCP serveru potřebné IP adresy počítačům kdykoliv znovu a znovu dodávat.

Našli jste v článku chybu?

21. 2. 2012 22:49

x (neregistrovaný)

Od kdy se DNS najde samo? Jinak ten "nejakej" DNS se hodi trebas u O2 a dalsich, kteri DNS v rozporu s RFC a dokonce zakony(neopravneny zasah do telekomunikacniho spojeni) filtruji.

21. 2. 2012 20:34

nou (neregistrovaný)

tohle celý mi přijde jako absolutní blbost...
DNS na localhostu? aha...
a proč si budu ručně nastavovat "nějakej" DNS server, když si můžu dát automat a vždycky se mi najde v závislosti na připojení, resp provideru...



Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Brněnský radní chce zničit kartel operátorů. Uspěje?

Brněnský radní chce zničit kartel operátorů. Uspěje?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka