بدافزار DNSChanger

خبرهای it

1394-10-7

بدافزار DNSChanger

 

خلاصه آسیب پذیری :

بنابر اطلاعات واصله، احتمال ایجاد وقفه در دسترسی به اینترنت برخی از سیستم‌ها در تاریخ 19 تیرماه سال جاری ( 9 جولای ) وجود خواهد داشت. در تاریخ 9 جولای با از کارافتادن تمامی سرورهای جعلی این بدافزار پیش‌بینی میشود، دسترسی به اینترنت حدود 64000 کاربر آمریکایی و همچنین 200000 کابر غیر آمریکایی، که سیستم هایشان هنوز آلوده هستند، به علت عدم توانایی دسترسی به DNS سرورهای حقیقی، قطع شود. این بدافزار در سیستم عامل های ویندوز و مکینتاش فعال می باشد.

 تشریح آسیب‌پذیری :

DNSChanger  تروجانی است که در شکل‌های مختلف مانند دام های تبلیغاتی به آلوده سازی سیستم قربانی پرداخته و پس از نصب بر روی سیستم، به صورت پیوسته تنظیمات DNS سیستم آلوده را به سمت سرورهای تقلبی تغییرداده و جستجوها و URL های درخواست شده را به سمت وب سایت‌های مخرب به منظور سرقت اطلاعات شخصی و ایجاد درآمد و آگهی‌های نامشروع برای کلاهبرداران سوق می‌دهد. نسخه‌های مختلفی از این بدافزار جهت سیستم عامل‌های ویندوز وMac در سال 2008 یافت شد که به نام‌هایOSX.RSPlug.A, OSX/Puper  و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و یاTidServ شناخته می‌شود.

تغییر DNS سیستم و عدم دسترسی به اینترنت و یا نمایش مکرر پیام The address is not valid از نشانه های آلودگی سیستم می باشد.

روش انتشار بدافزار :

از طریق پست های الکترونیک اسپم و لینک های جعلی تبلیغاتی

روش شناسایی آلودگی به بدافزار:

تنظیمات DNS سیستم را با فهرست آدرس های اشاره شده مقایسه نموده و درصورت تغییر آدرس DNS سیستم به آدرسهای زیر سیستم آلوده می باشد.

Starting IP

Ending IP

CIDR

85.255.112.0

85.255.127.255

85.255.112.0/20

67.210.0.0

67.210.15.255

67.210.0.0/20

93.188.160.0

93.188.167.255

93.188.160.0/21

77.67.83.0

77.67.83.255

77.67.83.0/24

213.109.64.0

213.109.79.255

213.109.64.0/20

64.28.176.0

64.28.191.255

64.28.176.0/20

 

·         بررسی آلودگی سیستم در سیستم عامل ویندوز XP :

1.        برنامه Run  از طریق منوی Start سیستم اجرا شود

2.        در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt سیستم )

3.        در برنامه اجرا شده، دستور ipconfig /all تایپ و در خروجی نمایش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

·         بررسی آلودگی سیستم در سیستم عامل ویندوز 7 :

1.        برنامه Run  از طریق منوی Start ، قسمت جستجوی سیستم اجرا شود

2.        در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt سیستم )

3.        در برنامه اجرا شده، دستور ipconfig /allcompartments /all تایپ گردد.

4.        در خروجی نمایش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

·         بررسی آلودگی سیستم در سیستم عامل مکینتاش :

1. بر روی آیکن Apple در سمت چپ صفحه نمایش کلیک شده و System Preferences انتخاب گردد.

2. در قسمت جستجوی برنامه، networkتایپ گردد.

3. در خروجی نمایش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

نحوه‌ی برخورد با آسیب‌پذیری :

1.        تهیه نسخه پشتیبان از اطلاعات حساس سیستم

2.        اسکن سیستم توسط آنتی ویروس به روز و پاکسازی بدافزار

3.        بازگرداندن تنظیمات DNS سیستم به وضعیت مورد اطمینان و یا حالت خودکار

 Local Area connection PropertiesTCP/IP PropertiesDNS server Addresses  Automatically

4.        بررسی مجدد تنظیمات DNS پس از پاکسازی بدافزار به منظور اطمینان از صحت تنظیمات

5.        پاکسازی رمزهای عبور ذخیره شده در مرورگر سیستم

Firefox : ToolsOptionsPrivacyClear all current historyTime range to clear ( everything )Clear Now

Internet explorer: ToolsInternet OptionsGeneralBrowsing historyDelete all

6.        تغییر رمز عبور سیستم و رمز عبور مربوط به حساب های اینترنتی اعتباری و بانکی

اخبار:

روش شناسایی وپاکسازی بدافزار DNSChanger

اطلاع رسانی به کاربران آلوده به  DNSChanger

هشدار گوگل به کاربران هدف حملات پشتیبانی شده توسط دولتها

اطلاع رسانی فیس بوک به کاربران آلوده به  DNSChanger

اطلاع رسانی گوگل به کاربران آلوده به  DNSChanger

گزارشات تحلیلی:

بدافزارهای سه ماهه دوم سال 2012 به گزارش  Kindsight

 

 

آدرس :

آدرس :

شیراز - بلوارزند - جنب هلال احمر -ساختمان دانشگاه علوم پزشکی شیراز-
طبقه هشتم - مدیریت حراست دانشگاه علوم پزشکی شیراز 

تماس با مدیریت

شماره تماس مستقیم با مدیریت حراست دانشگاه :
07132359547

شماره فکس :
07132352530

آدرس ایمیل :
herasat@sums.ac.ir

مکان نما