Antivírus blog

vírusok, férgek, botnetek, kártevők

Ideje ellenőriznünk a DNS beállításainkat?

2012. január 20. 08:40 - Csizmazia Darab István [Rambo]

Az ESET IT biztonsági szakemberei szerint igen. De mik is pontosan ezek a beállítások, és miért kell egyáltalán ezeket ellenőrizni?

Ehhez üssük fel a Wikipédia lapjait. A Domain Name System (DNS), azaz a tartománynévrendszer egy hierarchikus, nagymértékben elosztott elnevezési rendszer számítógépek, szolgáltatások, illetve az internetre vagy egy magánhálózatra kötött bármilyen erőforrás számára. A DNS lehetővé teszi internetes erőforrások csoportjaihoz nevek hozzárendelését olyan módon, hogy az ne függjön az erőforrások fizikai helyétől. Gyakran használt analógia a tartománynévrendszer magyarázatához, hogy az internet egyfajta telefonkönyve, amiből ki lehet keresni az emberek számára értelmezhető számítógép-állomásnevekhez tartozó IP-címeket. Például a www.example.com tartománynévhez a 192.0.32.10 (IPv4) cím tartozik.

Akkor ezek után nézzük meg, miről számolt be az FBI 2011. novemberében. A cikk szerint az úgynevezett Operation Ghostclick hadművelet keretében botnethálózatok lekapcsolására tettek kísérletet a hatóságok, és ennek keretében sikerült leleplezni a DNSChanger kártevőt, amelynek segítségével orosz és észt bűnözők eltérítették a felhasználók által a böngészőbe begépelt webcímeket. A gyanútlan felhasználók a a DNS szerverek manipulálása miatt először a valódi weboldalra kerültek, ám utána a kártevő azonnal egy másik weboldalakra irányította át őket. A nyomozást végző szakemberek szerint mintegy 14 ezer hamis, kattintásért és reklámért fizető oldalt üzemeltettek a bűnelkövetők, és a pénzszerzés reményében ide irányították az áldozatok böngészőit, de előfordult legitim weboldalak legitim reklámjainak a meghamisítása, új helyszínekre való átirányítása is.

Ezekből a cselekményekből tetemes haszonra sikerült szert tenniük, az FBI szerint az üzemeltetők 14 millió amerikai dollárt kerestek ezzel a fajta csalássorozattal. Mivel a DNSChanger becslések szerint mintegy 4 millió számítógépet is megfertőzhetett világszerte több, mint 100 országban, így máris érthető, miért érdemes elvégezni ezt az ellenőrzést, hiszen senki nem szeretne a tudtán kívül egy ilyen kártevőt futtatni.


Emellett egy másik aktualitása is van a dolognak, 2012. március 8. után az ilyen fertőzött gépek ezeknek a DNS szervereknek a leállítása miatt nem lesznek képesek elérni az internetetMost pedig nézzük, mit tehetünk mi. Az már szinte alapkövetelmény, hogy operációs rendszerünk naprakész legyen a biztonsági frissítések tekintetében, emellett pedig használjunk olyan komplett internetbiztonsági csomagot, amely a vírus- és kémprogramirtón felül tűzfalat, spamszűrőt és behatolásmegelőző modulokat is tartalmaz.

Hogy pedig a DNS beállításokkal kapcsolatban minden rendben van-e a házunk táján, azt több féle módszerrel is tesztelhetjük. Kipróbálhatjuk maga az FBI által készített hivatalos ellenőrzést, amely begépelt IP címünk alapján segít meghatározni, vajon DNS fertőzött-e a számítógépünk. Emellett más hasonló oldalak is segíthetnek, például a németországi www.dns-ok.de, valamint a művelethez az angol nyelvű www.dns-changer.eu/en/check.html is a rendelkezésünkre áll.

3 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr593592299

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.01.20. 13:06:11

Közben jöttek kérdések, ezért mennek válaszok:

- Akinek folyamatosan frissített antivírus van a gépén, az nem kaphat be ilyen fertőzést.

- Maga kartevő évek óta ismert, a NOD32 adatbázisába folyamatosan kerül bele detektálás, ha éppen újabb variáns jelenik meg.
www.eset.hu/virus/dnschanger-nai

- A kézi irtás nem elég. Az a cikk beszél arról, hogy ha valaki csak kézzel törölgetve mentesít, de közben egyáltalán nem használ antivírust, az viszont legtöbbször nem elég, mert a hamis antivírusokhoz hasonlóan ez a kártevő is mindig újratelepíti, helyreállítja magát.
www.2-viruses.com/remove-trojan-dnschanger

- Saját igazi (nem belső) IP címet rengeteg helyen lehet nézni, csak néhány:
showip.com/
supportdetails.com/
stb.

- és ha valakinek fertőzött a gépe, de addig nem csinál vele semmit, akkor 2012. március 8. után majd csak a mentesítés UTÁN lesz netje a DNS szerverek leállítása miatt.

Sparhelt 2012.01.20. 15:41:53

Azt azért érdemes lenne tisztázni a cikkben, hogy a kártevő nem a dns szervereket manipulálja, hanem az user gépén lévő hálózati beállitások közül a dns szerver cimét irja át, egy 'hibás' szerverre mutató cimre. A cikkből az sem derül ki egyértelműen, hogy melyik operációs rendszereket érinti a virus.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.01.20. 20:37:36

Szia Sparhelt!

Köszi szépen a kiegészítéseket. És elsősorban a Windows, de emellett az OS X rendszereket is érinti, hiszen ezekre gyártották az említett trójai kártevőket.