Cách phát hiện và sửa chữa máy bị nhiễm DNSChanger

Vào ngày 9 tháng 7, FBI sẽ đóng cửa một mạng lưới các máy chủ DNS mà nhiều người đã phụ thuộc vào để truy cập Internet thích hợp. Các máy chủ này ban đầu là một phần của một vụ lừa đảo trong đó một nhóm tội phạm của công dân Estonia đã phát triển và phân phối gói phần mềm độc hại có tên là DNSChanger, nhưng FBI đã tịch thu và chuyển đổi thành dịch vụ DNS hợp pháp.

Trò lừa đảo phần mềm độc hại này đã lan rộng đến mức ngay cả các công ty bên thứ ba như Google và Facebook và một số ISP như Comcast, COX, Verizon và AT & T đã tham gia để giúp loại bỏ nó bằng cách đưa ra thông báo tự động cho người dùng rằng hệ thống của họ được cấu hình với mạng DNS giả mạo.

Nếu gần đây bạn đã nhận được cảnh báo khi thực hiện tìm kiếm Google, duyệt Facebook hoặc sử dụng Web mà tuyên bố hệ thống của bạn có thể bị xâm phạm, thì bạn có thể cân nhắc thực hiện một vài bước để kiểm tra hệ thống của bạn về sự hiện diện của phần mềm độc hại. Điều này có thể được thực hiện theo một vài cách. Trước tiên, bạn có thể kiểm tra cài đặt DNS trong hệ thống của mình để xem các máy chủ mà máy tính của bạn đang sử dụng có phải là một phần của mạng DNS giả mạo hay không.

Trên các hệ thống Mac, mở tùy chọn hệ thống Mạng và cho từng dịch vụ mạng (Wi-Fi, Ethernet, Bluetooth, v.v.), chọn dịch vụ và sau đó nhấp vào nút "Nâng cao". Thực hiện theo điều này bằng cách chọn tab "DNS" và ghi chú các máy chủ DNS được liệt kê. Bạn cũng có thể thực hiện việc này trong Terminal bằng cách chạy lệnh sau:

Networksetup -listallnetworkservice

Sau khi lệnh này được chạy, tiếp theo chạy lệnh sau trên mỗi tên được liệt kê (hãy chắc chắn xóa bất kỳ dấu hoa thị nào trước các tên và đảm bảo tên được đặt trong dấu ngoặc kép nếu có bất kỳ khoảng trắng nào trong chúng):

Networksetup -getdnsservers "TÊN DỊCH VỤ"

Lặp lại lệnh này cho tất cả các dịch vụ được liệt kê (Đặc biệt là kết nối Ethernet và Wi-Fi) để liệt kê tất cả các máy chủ DNS được định cấu hình.

Trên máy Windows (bao gồm bất kỳ ứng dụng nào bạn có thể đã cài đặt trong máy ảo), bạn có thể mở công cụ dòng lệnh (chọn "Chạy" từ menu Bắt đầu và nhập "cmd" hoặc trong Windows 7 chọn "Tất cả chương trình "Và sau đó chọn dòng lệnh từ thư mục Phụ kiện). Trong dòng lệnh, hãy chạy lệnh sau để liệt kê tất cả thông tin giao diện mạng, bao gồm các địa chỉ IP của máy chủ DNS được định cấu hình:

ipconfig / all

Khi bạn đã liệt kê các máy chủ DNS của hệ thống, hãy nhập chúng vào trang Web kiểm tra DNS của FBI để xem chúng có được xác định là một phần của mạng DNS giả mạo hay không. Ngoài việc tìm kiếm và kiểm tra cài đặt DNS theo cách thủ công, một số dịch vụ web đã xuất hiện sẽ kiểm tra hệ thống của bạn để tìm phần mềm độc hại DNSChanger. Nhóm làm việc DNSChanger đã tổng hợp danh sách nhiều dịch vụ mà bạn có thể sử dụng để kiểm tra hệ thống của mình (đối với những người ở Mỹ, bạn có thể truy cập dns-ok.us để kiểm tra kết nối của mình).

Nếu những bài kiểm tra này trở nên sạch sẽ, thì bạn không có gì phải lo lắng; tuy nhiên, nếu họ đưa ra bất kỳ cảnh báo nào, thì bạn có thể sử dụng trình quét chống phần mềm độc hại để kiểm tra và xóa phần mềm độc hại DNSChanger. Cho rằng phần mềm độc hại đã bị dừng đột ngột vào tháng 11 năm 2011, đã có nhiều thời gian để các công ty bảo mật cập nhật định nghĩa chống phần mềm độc hại của họ để bao gồm tất cả các biến thể của DNSChanger. Nếu bạn có một trình quét phần mềm độc hại và gần đây không sử dụng nó, thì hãy chắc chắn khởi chạy và cập nhật đầy đủ, sau đó thực hiện quét toàn bộ hệ thống của bạn. Thực hiện việc này cho mọi PC và Mac trên mạng của bạn và ngoài ra hãy chắc chắn kiểm tra cài đặt của bộ định tuyến để xem cài đặt DNS có cài đặt thích hợp từ ISP của bạn hay là cài đặt DNS giả mạo.

Nếu bộ định tuyến hoặc máy tính của bạn không hiển thị bất kỳ địa chỉ máy chủ DNS hợp lệ nào sau khi bạn đã xóa phần mềm độc hại và hệ thống của bạn không thể kết nối với các dịch vụ Internet, thì bạn có thể thử định cấu hình hệ thống của mình để sử dụng dịch vụ DNS công cộng, chẳng hạn như các dịch vụ từ OpenDNS và Google, bằng cách nhập các địa chỉ IP sau vào cài đặt mạng của hệ thống của bạn:

8.8.8.8

8.8.4.4

208, 67.222.222

208, 67.220.220

Nếu sau thứ Hai bạn thấy bạn không thể truy cập Internet nữa, thì có khả năng bộ định tuyến hệ thống hoặc mạng của bạn vẫn được định cấu hình với các máy chủ DNS lừa đảo và bạn sẽ cần phải cố gắng phát hiện và xóa phần mềm độc hại khỏi hệ thống của mình. May mắn thay, phần mềm độc hại không phải là virus về bản chất nên nó sẽ không tự lan truyền và tự động lây nhiễm lại các hệ thống. Do đó, một khi đã xóa và một khi người dùng đã thiết lập máy chủ DNS hợp lệ trên hệ thống của họ, thì các máy tính bị ảnh hưởng sẽ có quyền truy cập Internet thích hợp.

Nhưng câu chuyện liên quan

  • FBI đã khắc phục lừa đảo phần mềm độc hại DNSChanger
  • Hoạt động các máy chủ DNS Nhấp vào DNS để duy trì trực tuyến cho đến tháng 7
  • Web có thể biến mất cho đám người vào tháng 7, FBI cảnh báo
  • Google sẽ cảnh báo người dùng về việc nhiễm phần mềm độc hại DNSChanger
  • Biến thể mới DNSChanger Trojan nhắm mục tiêu bộ định tuyến

Lý lịch

DNS là "Hệ thống tên miền", hoạt động như danh bạ điện thoại của Internet và dịch các URL thân thiện với con người như "www.cnet.com" sang các địa chỉ IP tương ứng mà máy tính và bộ định tuyến sử dụng để thiết lập kết nối. Vì DNS là giao diện giữa URL được nhập và máy chủ được nhắm mục tiêu, vòng tội phạm đã tạo ra mạng DNS của riêng nó, phần lớn sẽ hoạt động bình thường, nhưng cũng cho phép vòng đó tự ý chuyển hướng lưu lượng truy cập cho các URL cụ thể sang các trang web giả mạo cho mục đích đánh cắp thông tin cá nhân hoặc khiến mọi người nhấp vào quảng cáo.

Tự thiết lập mạng DNS lừa đảo là không đủ, vì mạng này cần được chỉ định trong cài đặt của máy tính để được sử dụng. Để thực hiện điều này, vòng tội phạm đã tạo ra phần mềm độc hại DNSChanger (còn được gọi là RSplug, Puper và Jahlav), được phân phối dưới dạng ngựa trojan và lây nhiễm thành công hàng triệu hệ thống PC trên toàn thế giới. Sau khi cài đặt, phần mềm độc hại này sẽ liên tục thay đổi cài đặt DNS cho máy tính bị ảnh hưởng và thậm chí cho các bộ định tuyến mạng, để trỏ đến mạng DNS lừa đảo của vòng tội phạm. Do đó, ngay cả khi mọi người thay đổi thủ công cài đặt DNS của máy tính, những thay đổi này sẽ tự động được hoàn nguyên bởi phần mềm độc hại trên hệ thống của họ.

Do hàng triệu người dùng PC đã bị nhiễm phần mềm độc hại này, một khi vòng tội phạm đã bị gỡ xuống trong một cuộc tấn công đa phương vào tháng 11 năm 2011 có tên là Chiến dịch Ghost Click, FBI và các cơ quan chính phủ khác đã quyết định tắt mạng DNS lừa đảo vì điều này sẽ ngăn chặn ngay lập tức các hệ thống bị nhiễm từ việc giải quyết các URL và do đó sẽ tắt Internet một cách hiệu quả. Thay vào đó, mạng DNS được duy trì hoạt động và được chuyển đổi thành một dịch vụ hợp pháp trong khi các nỗ lực được đưa ra để thông báo cho người dùng về phần mềm độc hại DNSChanger và chờ số lượng nhiễm trùng trên toàn thế giới giảm.

Ban đầu, mạng DNS lừa đảo dự kiến ​​sẽ đóng cửa vào tháng 3 năm nay; tuy nhiên, trong khi tỷ lệ nhiễm trùng giảm đáng kể sau khi vòng tội phạm bị phá vỡ, số lượng máy tính bị nhiễm vẫn còn tương đối cao, vì vậy FBI đã gia hạn thời hạn đến ngày 9 tháng 7 (thứ Hai tuần tới). Thật không may, ngay cả khi thời hạn này đến gần, hàng ngàn hệ thống PC trên toàn thế giới vẫn bị nhiễm phần mềm độc hại DNSChanger và khi các máy chủ ngừng hoạt động, các hệ thống này sẽ không thể phân giải URL thành địa chỉ IP.


 

Để LạI Bình LuậN CủA BạN