Právě falešné DNS servery pak umožňovaly podvrh jiné IP adresy místo té správné a přesměrování na zcela jiné místo, než původně uživatel chtěl. Součástí aktivit bylo šíření dalšího malware a hlavně zobrazování inzerce – právě z této činnosti měla skupina nemalé příjmy. Vedle změny DNS se navíc instalované malware postaralo o zamezení aktualizace operačního systému a funkčností antivirového/bezpečnostního software.
Po zásahu FBI nahradilo falešné DNS servery dočasnými vlastními, ale pouze na dobu 120 dní. Konec této doby se blíží a právě 8. března budou dočasné servery odstavené – pro některé uživatele to tak může skutečně přinést den, kdy „FBI vypne Internet“. Jejich počítače, stále nakažené původním malware, přestanou být schopné převádět názvy na IP adresy.
Je váš počítač napaden?
Jak poznáte, že je váš počítač napaden? Není to tak jednoduché, předmětné malware se umí dobře skrývat. Zkusit můžete Avira DNS Repair Tool alespoň pro zjištění, jestli používáte právě ony podvržené DNS servery. Nedojde tak ale k odstranění malware. Nejbezpečnější způsob spočívá v reinstalaci operačního systému a kompletní instalaci všech potřebných programů znovu.
Pokud nechcete zkusit pomůcku od Aviry (funguje tak jako tak jenom ve Windows, malware fungovalo i pro Mac OSX), můžete si nastavení DNS serverů ověřit ručně. Ve Windows k tomu můžete použít příkazovou řádku a příkaz „ipconfig /all“, případně se podívat na nastavení síťové karty (což můžete udělat například na Mac OSX). Dál to je trochu složitější, protože rozsah IP adres, které používali tvůrci malware, je poněkud široký:
Počáteční adresa | Koncová adresa |
77.67.83.1 | 77.67.83.254 |
85.255.112.1 | 85.255.127.254 |
67.210.0.1 | 67.210.15.254 |
93.188.160.1 | 93.188.167.254 |
213.109.64.1 | 213.109.79.254 |
64.28.176.1 | 64.28.191.254 |
Samotné FBI nabízí PDF s názvem DNSChanger Malware s pár dalšími užitečnými informacemi. V něm se mimo jiné dočtete, že malware napadalo nejenom počítače, ale v řadě případů mohlo napadnout i router, tedy zařízení, které vás připojuje k Internetu.
Jak odstranit malware z počítače
Samotná změna nastavení DNS Serverů na správné samozřejmě nestačí, počítač či router je nadále infikovaný. Odstranit DNSChanger je poměrně obtížné, ale některé z antivirových řešení to umožňují – zpravidla se ale připravte na nutnost spuštění počítače z opravného CD nebo USB klíčenky, odstranění z počítače, na kterém DNSChanger běží, je nereálné.
Zajímavé na DNSChagner malware je i to, že se poprvé objevil už někdy v roce 2007 a podařilo se mu nakazit miliony počítačů – tvůrcům aktivity s ním spojeném přinesly na 14 milionů dolarů. V listopadu FBI jejich činnost ukončilo v rámce Operation Ghost Click.
Na Mac OSX se toto malware vyskytovalo nejčastěji v podobě OSX.RSPlug.A, OSX/Puper a OSX/Jahlav-C a k šíření docházelo jednou z nejklasičtějších cest – falešný video kodek pro QuickTime, zpravidla se vyskytující na porno webech. Právě pro Mac OSX je možné zkusit DNSChanger Trojan removal tool.
Na Windows se toto malware objevilo v řadě různých variant a na Internetu najdete řadu různých pomůcek, které uvádějí, že je mohou odstranit. Doporučil bych zůstat u pomůcek, které poskytuje výrobce vašeho antivirového software, pokud je poskytuje (viz například Norton Power Eraser). V řadě případů se „odstraňovač“ malware může ve skutečnosti ukázat jako další malware.
Zajímavé je například ale i to, že novější verze malware dokázaly do počítačových sítí protlačit falešné DHCP servery (viz Rogue DHCP servers) – přestalo tak být nutné měnit nastavení DNS serverů přímo v počítačích, postačilo pomocí falešného DHCP serveru potřebné IP adresy počítačům kdykoliv znovu a znovu dodávat.