تبلیغات
مجله خبری تحلیلی پارس - خبر فوری: انتشار گسترده ویروس DNS Changer

شما عزیزان برای دیدن وبلاگ جدید من می توانید به این آدرس مراجعه نمائید : www.haghighatjoo.ir

خبر فوری: انتشار گسترده ویروس DNS Changer

نوشته شده توسط سردبیر سه شنبه 1391/04/20 نظرات بازدید
ویروس DNS Changer که این روزها یکبار دیگر در خبرها مطرح شده است، حدود ۵ سال قبل برای اولین بار مشاهده و شناسایی گردید. نویسندهگان و گردانندگان این ویروس توانسته بودند که یک شبکه مخربی از کامپیوترهای آلوده به این ویروس ایجاد کنند. سال گذشته، پلیس FBI آمریکا گردانندگان این ویروس را دستگیر کرد و اختیار سرورهای مرتبط با ویروس DNS Changer را در اختیار گرفت. مدتی قبل نیز، پلیس FBI مسئولیت نگهداری این سرورها را به یک موسسه غیرانتفاعی به نام Internet System Consortium واگذار کرد. اکنون طبق دستور محاکم قضایی آمریکا، این سرورها در روز دوشنبه ۱۹ تیرماه برچیده خواهند شد و نزدیک به ۳۰۰ هزار کامپیوتر در جهان که همچنان به ویروس DNS Changer آلوده هستند، قادر به دسترسی و استفاده از اینترنت نخواهند بود.


ویروس DNS Changer قادر بود که درخواست های اینترنتی کاربر آلوده را از طریق یک تعداد سرور به سایت های جعلی و مخرب هدایت کند. اینکار از طریق سوء استفاده از سرویس DNS صورت می گرفت. با تغییر آدرس سرور DNS مورد استفاده کامپیوتر، درخواست های ارسالی از آن کامپیوتر بجای هدایت به سرورهای DNS واقعی و معتبر در اینترنت، به یکی از سرورهای تحت کنترل افراد خلافکار فرستاده می شد. طبق تنظیمات صورت گرفته توسط این افراد مجرم بر روی این سرورهای DNS جعلی، کاربر به سایت های مورد نظر این افراد هدایت شده و در این سایت ها انواع بدافزارها و دیگر برنامه های مخربی و مزاحم بر روی کامپیوتر قربانی نصب و اجرا می گردید و یا اقدام به جمع آوری اطلاعات شخصی کاربر از روی کامپیوتر آلوده می شد.
با من در ادامه این مطلب همراه باشید ...

طی چند ماه گذشته، پلیس FBI و مسئولان موسسه غیرانتفاعی فوق با ارسال پیام هایی به کاربران آلوده، سعی در اطلاع رسانی و هشدار به آنان را داشته اند. همچنین سایت های پرطرفدار مانند Google و Facebook در صورت تشخیص آلودگی بر روی کامپیوتر کاربران، هشدارهایی را بر روی صفحه نشان می دهند.

بعلاوه برای اطمینان از اینکه کامپیوتر شما آلوده به ویروس DNS Changer نیست، می توانید به سایت http://www.dns-ok.us مراجعه کنید. در صورتیکه در این سایت، تصویر زیر به رنگ سبز دیده می شود، کامپیوتر شما سالم است. اگر تصویر به رنگ قرمز است، احتمالا کامپیوتر شما آلوده به ویروس DNS Changer شده است. البته باید توجه داشت که این ویروس می تواند روتر (router) ها را نیز آلوده کند، لذا در صورتیکه درخواست های اینترنتی شما از چنین روترهایی رد شود، با آنکه کامپیوتر شما سالم است، تصویر زیر بعنوان علامت آلودگی، به رنگ قرمز نمایش داده خواهد شد.
 

کنترل DFS

همچنین در سایت DNS Changer Working Group که اختصاصا برای اطلاع رسانی و مبارزه با این ویروس توسط گروهی از مراکز علمی و شرکتهای امنیتی راه اندازی شده، اطلاعات کامل و ابزارهای شناسایی و پاکسازی متعددی ارائه شده است.

ناگفته نماند که احتمال آلودگی کاربران ایرانی به این ویروس اندک بوده و بیش از یک سوم از ۳۰۰ هزار کامپیوتر آلوده به ویروس DNS Changer در کشور آمریکا هستند.


خلاصه آسیب پذیری :
بنابر اطلاعات واصله، احتمال ایجاد وقفه در دسترسی به اینترنت برخی از سیستم‌ها در تاریخ 19 تیرماه سال جاری ( 9 جولای ) وجود خواهد داشت. در تاریخ 9 جولای با از كارافتادن تمامی سرورهای جعلی این بدافزار پیش‌بینی میشود، دسترسی به اینترنت حدود 64000 كاربر آمریكایی و همچنین 200000 كابر غیر آمریكایی، كه سیستم هایشان هنوز آلوده هستند، به علت عدم توانایی دسترسی به DNS سرورهای حقیقی، قطع شود. این بدافزار در سیستم عامل های ویندوز و مكینتاش فعال می باشد.

 تشریح آسیب‌پذیری :
 DNS Changer  یك تروجان است كه در شكل‌های مختلف مانند دام های تبلیغاتی به آلوده سازی سیستم قربانی پرداخته و پس از نصب بر روی سیستم، به صورت پیوسته تنظیمات DNS سیستم آلوده را به سمت سرورهای تقلبی تغییرداده و جستجوها و URL های درخواست شده را به سمت وب سایت‌های مخرب به منظور سرقت اطلاعات شخصی و ایجاد درآمد و آگهی‌های نامشروع برای كلاهبرداران سوق می‌دهد. نسخه‌های مختلفی از این بدافزار جهت سیستم عامل‌های ویندوز وMac در سال 2008 یافت شد كه به نام‌هایOSX.RSPlug.A, OSX/Puper  و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و یاTidServ شناخته می‌شود.
تغییر DNS سیستم و عدم دسترسی به اینترنت و یا نمایش مكرر پیام The address is not valid از نشانه های آلودگی سیستم می باشد.

روش انتشار بدافزار :
از طریق پست های الكترونیك اسپم و لینك های جعلی تبلیغاتی
روش شناسایی آلودگی به بدافزار:
تنظیمات DNS سیستم را با فهرست آدرس های اشاره شده مقایسه نموده و درصورت تغییر آدرس DNS‌ سیستم به آدرسهای زیر سیستم آلوده می باشد :

Starting IP
Ending IP
CIDR
85.255.112.0
85.255.127.255
85.255.112.0/20
67.210.0.0
67.210.15.255
67.210.0.0/20
93.188.160.0
93.188.167.255
93.188.160.0/21
77.67.83.0
77.67.83.255
77.67.83.0/24
213.109.64.0
213.109.79.255
213.109.64.0/20
64.28.176.0
64.28.191.255
64.28.176.0/20


بررسی آلودگی سیستم در سیستم عامل ویندوز XP :
  1. برنامه Run  از طریق منوی Start سیستم اجرا شود
  2. در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt‌ سیستم )
  3. در برنامه اجرا شده، دستور ipconfig /all تایپ و در خروجی نمایش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

بررسی آلودگی سیستم در سیستم عامل ویندوز 7 :

  1. برنامه Run  از طریق منوی Start ، قسمت جستجوی سیستم اجرا شود
  2. در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt‌ سیستم )
  3. در برنامه اجرا شده، دستور ipconfig /allcompartments /all تایپ گردد.
  4. در خروجی نمایش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

بررسی آلودگی سیستم در سیستم عامل مكینتاش :

  1. بر روی آیكن Apple در سمت چپ صفحه نمایش كلیك شده و System Preferences انتخاب گردد.
  2. در قسمت جستجوی برنامه، networkتایپ گردد.
  3. در خروجی نمایش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.

نحوه‌ی برخورد با آسیب‌پذیری :

  1. تهیه نسخه پشتیبان از اطلاعات حساس سیستم
  2. اسكن سیستم توسط آنتی ویروس به روز و پاكسازی بدافزار
  3. بازگرداندن تنظیمات DNS سیستم به وضعیت مورد اطمینان و یا حالت خودكار
  4.  Local Area connection Properties -> TCP/IP Properties -> DNS server Addresses / Automatically
  5. بررسی مجدد تنظیمات DNS پس از پاكسازی بدافزار به منظور اطمینان از صحت تنظیمات
  6. پاكسازی رمزهای عبور ذخیره شده در مرورگر سیستم
  7. Firefox : Tools -> Options -> Privacy -> Clear all current history -> Time range to clear (everything) -> Clear Now
  8. Internet explorer : Tools -> Internet Options -> General -> Browsing history -> Delete all
  9. تغییر رمز عبور سیستم و رمز عبور مربوط به حساب های اینترنتی اعتباری و بانكی.




  • انعکاس آخرین اخبار و ارائه جدیدترین مقالات با محوریت ارتباطات و فناوری اطلاعات.