Зловмисне програмне забезпечення DNSChanger / Rogue DNS - “Internet Doomsday” 9 липня

Ще в кінці 2011 року ФБР демонтувало велике та витончене кільце для шахрайства в Інтернеті за DNSChangerвірусом / шкідливим програмним забезпеченням. Частина цього зловмисного програмного забезпечення включала направлення DNS-запитів жертви на шахрайські сервери, контрольовані авторами зловмисних програм.

Після арешту винних ФБР та ISC створили «чисті» DNS-сервери для заміни шахрайських серверів, якими користуються автори зловмисних програм. Планується, що ці сервери припинять свою роботу 9 липня 2012 року.

Статей багато, головним чином ця, яка привернула мою увагу. Чесно кажучи, я ніколи нічого про це не чув до цього ранку, коли мій начальник попросив мене «підготувати» щось для наших колег, щоб вони не переставали працювати.

Перш за все, хтось ще чув про це, і я повинен хвилюватися? DNS в моїй робочій обстановці не входить у діапазон ефективних DNS, але це не говорить про те, що я вдома або хтось із моїх колег може бути.

По-друге, як мені зайнятися "підготовкою", щоб переконатися, що все в безпеці та функціонує так, як це має відбутися 9 липня?

domain-name-system internet

— C-дизель
джерело

Трохи пізно почати турбуватися про це зараз ... це трохи схоже на те, щоб почати свої зусилля Y2K на Різдво '99.

— живіт

Щоправда, але мене це не хвилювало хаха, це мій начальник.

— C-dizzle

Чому це не було на вашому радарі місяці тому? Це триває лише 7 місяців, причому багато дискусій у місцях, де професійні сисадміни обговорюють подібні речі. NANOG обговорювали це майже безперервно.

— жіноча

@womble Чому ФБР просто не попросило їх сервери DNS повернути "фальшиві" записи для всіх сайтів, які спрямовують заражених користувачів на сторінку з інформацією про зловмисне програмне забезпечення, з інструкціями щодо її повернення? Зазвичай я зневажаю, коли постачальники DNS роблять подібні дії, але, здається, це було б прийнятним винятком.

— Том Мартенал

@TomMarthenal: Є деякі частини Інтернету, які не є трафіком HTTP.

— живіт

Відповіді:

Вам не доведеться турбуватися про ваші DNS-сервери. Це клієнтські машини, які заразилися цією шкідливою програмою.

В основному так сталося, що коли ФБР заарештувало авторів вірусу, вони взяли під контроль сервери DNS, які вони куди працюють. Тепер вони не можуть керувати ними назавжди, використовуючи гроші платника податків, і вони знаходяться в обмежений термін через рішення суду, яке було видано.

По завершенні потрібно переконатися, що ваші клієнтські машини не заражені вірусом.

На веб-сайті FBI Operation Ghost Click є багато корисної інформації

— Зіфер
джерело

На додаток до того, що згадував Зіфер, ви також можете ознайомитись із повідомленням у цьому блозі ISC та веб-сайтом робочої групи DNS Changer, який спеціально присвячений цій проблемі.

Зокрема, на сайті ISC згадується таке: як виявити, чи впливають на ваші системи:

Чи добре ваш DNS?
Півдесятка національних команд з безпеки в Інтернеті по всьому світу створили спеціальні веб-сайти, на яких відображатимуться попереджувальні повідомлення потенційним жертвам зараження DNS Changer.
Наприклад, якщо ви завітаєте на сторінку http://dns-ok.de/, ви отримаєте сторінку німецької мови з повідомленням про те, що ви заражені, або що ви не заражені. Ендрю Фрід та я створили http://dns-ok.us/ з тією ж метою, хоча, звичайно, наша сторінка є американською англійською.
Повний перелік цих веб-сайтів "Перевірка DNS" публікується на веб-сайті DCWGразом з великою кількістю інформації про загрозу, арешти, зняття міста, постанови суду та інформацію про прибирання жертв. Тепер, коли у нас є всі ці веб-сайти, які можуть сказати комусь, чи є жертвою, і які кажуть жертвам, що робити, щоб почистити їх комп’ютери та домашні маршрутизатори, проблема, здається, викликає турботу про людей.

— voretaq7
джерело