روش شناسايی و پاک‌سازی بدافزار DNSChanger

روش شناسايی و پاک‌سازی بدافزار DNSChanger

تاریخ ایجاد

شماره: IRCNE2012071544
تاريخ: 18/04/91

خلاصه آسيب پذيري
بنابر اطلاعات واصله، احتمال ايجاد وقفه در دسترسي به اينترنت برخي از سيستم‌ها در تاريخ 19 تيرماه سال جاري ( 9 جولاي ) وجود خواهد داشت. در تاريخ 9 جولاي با از كارافتادن تمامي سرورهاي جعلي اين بدافزار پيش‌بيني ميشود، دسترسي به اينترنت حدود 64000 كاربر آمريكايي و همچنين 200000 كابر غير آمريكايي، كه سيستم هايشان هنوز آلوده هستند، به علت عدم توانايي دسترسي به DNS سرورهاي حقيقي، قطع شود. اين بدافزار در سيستم عامل هاي ويندوز و مكينتاش فعال مي باشد.

تشريح آسيب‌پذيري
DNSChanger يك تروجان است كه در شكل‌هاي مختلف مانند دام هاي تبليغاتي به آلوده سازي سيستم قرباني پرداخته و پس از نصب بر روي سيستم، به صورت پيوسته تنظيمات DNS سيستم آلوده را به سمت سرورهاي تقلبي تغييرداده و جستجوها و URL هاي درخواست شده را به سمت وب سايت‌هاي مخرب به منظور سرقت اطلاعات شخصي و ايجاد درآمد و آگهي‌هاي نامشروع براي كلاهبرداران سوق مي‌دهد. نسخه‌هاي مختلفي از اين بدافزار جهت سيستم عامل‌هاي ويندوز وMac در سال 2008 يافت شد كه به نام‌هايOSX.RSPlug.A, OSX/Puper و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و ياTidServ شناخته مي‌شود.
تغيير DNS سيستم و عدم دسترسي به اينترنت و يا نمايش مكرر پيام The address is not valid از نشانه هاي آلودگي سيستم مي باشد.

روش انتشار بدافزار
از طريق پست هاي الكترونيك اسپم و لينك هاي جعلي تبليغاتي

روش شناسايي آلودگي به بدافزار
تنظيمات DNS سيستم را با فهرست آدرس هاي اشاره شده مقايسه نموده و درصورت تغيير آدرس DNS‌ سيستم به آدرسهاي زير سيستم آلوده مي باشد.
 

dnschanger

 

  •  بررسي آلودگي سيستم در سيستم عامل ويندوز XP
  1. برنامه Run از طريق منوي Start سيستم اجرا شود
  2. در قسمت نام برنامه مورد نظر براي اجرا، CMD تايپ گردد ( اجراي برنامه command prompt‌ سيستم )
  3. در برنامه اجرا شده، دستور ipconfig /all تايپ و در خروجي نمايش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
  • بررسي آلودگي سيستم در سيستم عامل ويندوز 7
  1.  برنامه Run از طريق منوي Start ، قسمت جستجوي سيستم اجرا شود
  2. در قسمت نام برنامه مورد نظر براي اجرا، CMD تايپ گردد ( اجراي برنامه command prompt‌ سيستم )
  3. در برنامه اجرا شده، دستور ipconfig /allcompartments /all تايپ گردد.
  4. در خروجي نمايش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
  • بررسي آلودگي سيستم در سيستم عامل مكينتاش
  1. بر روي آيكن Apple در سمت چپ صفحه نمايش كليك شده و System Preferences انتخاب گردد.
  2. در قسمت جستجوي برنامه، networkتايپ گردد.
  3. در خروجي نمايش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

نحوه‌ي برخورد با آسيب‌پذيري

  1. تهيه نسخه پشتيبان از اطلاعات حساس سيستم
  2. اسكن سيستم توسط آنتي ويروس به روز و پاكسازي بدافزار
  3. بازگرداندن تنظيمات DNS سيستم به وضعيت مورد اطمينان و يا حالت خودكار
  4. Local Area connection Properties -> TCP/IP Properties -> DNS server Addresses / Automatically
  5. بررسي مجدد تنظيمات DNS پس از پاكسازي بدافزار به منظور اطمينان از صحت تنظيمات
  6. پاكسازي رمزهاي عبور ذخيره شده در مرورگر سيستم
  7. Firefox : Tools -> Options -> Privacy -> Clear all current history -> Time range to clear ( everything ) -> Clear Now
  8. Internet explorer : Tools -> Internet Options -> General -> Browsing history -> Delete all
  9. تغيير رمز عبور سيستم و رمز عبور مربوط به حساب هاي اينترنتي اعتباري و بانكي

سيستم تشخيص بدافزار بصورت خودكار تهيه شده توسط مركز ماهر و آپاي دانشگاه صنعتي شريف از طريق لينك قابل دسترسي مي باشد.

http://dns-ok.cert.sharif.edu

مطالب مرتبط:
اطلاع‌رسانی به كاربران آلوده به DNSChanger

برچسب‌ها
اخبار
  • 15