Kako prepoznati infekciju računara DNSChanger Trojancem

Opisi virusa, 15.11.2011, 08:19 AM

Kako prepoznati infekciju računara DNSChanger Trojancem

TDSS rootkit je malware koji se do sada pokazao da je veoma prilagodljiv te je kao takav u prethodne tri ili četiri godine korišćen u različitim vrstama napada. Pojavljivao se u drive-by download napadima, ciljanim napadima ali i drugim vrstama napada a njegova nova uloga je dostavljanje DNSChanger Trojanca.

Sam po sebi TDSS rootkit, poznat i pod nazivima Alureon ili TDL4 predstavlja veliki izazov prilikom pokušaja da bude uklonjen sa zaraženog računara. Međutim, i DNSChanger Trojanac može biti izvor velikih problema. Glavna funkcija DNSChanger Trojanca je da preotme internet saobraćaj zaraženog kompjutera menjajući DNS podešavanja na zaraženom računaru, i preusmeravajući korisnika ka malicioznim sajtovima umesto ka onim koje je nameravao da poseti. Kada DNSChanger promeni DNS podešavanja, DNS upiti sa zaraženog računara će biti preusmereni ka serverima koji su pod kontrolom napadača što omogućava napadačima da usmere korisnika takvog računara ka malicioznim sajtovima koji su takođe pod njihovom kontrolom.

Napadači ovom taktikom mogu instalirati druge maliciozne programe na zaraženom računaru ili ga iskoristiti kao deo “plati po kliku” šeme. Istraživači Dell Secureworks kažu da su do sada registrovali između 600000 i milion jedinstvenih IP adresa zaraženim DNSChanger Trojancem samo tokom nekoliko poslednjih nedelja i da su uočili TDSS rootkit koji preuzima i instalira Trojanca.

Prošle nedelje je sedam osoba uhapšeno i optuženo za učešće u u kriminalnoj šemi sa klikovima na linkove koja je kriminalnoj grupi donela milione dolara zarade. Grupa je optužena i za infekciju DNSChanger Trojancem četiri miliona računara korisnika iz stotinak zemalja sveta i manipulaciju online oglasima koja je rezultirala profitom od 14 miliona dolara koji je završio u džepovima optuženih. Šestoro uhapšenih su Estonci, a sedmi član bande je iz Rusije. Šestoro Estonaca trenutno čeka da budu izručeni SAD.

Istraživači kažu da je glavni problem infekcije DNSChanger Trojancem to što je takva infekcija znak da je zaraženi sistem inficiran većim brojem malicioznih programa i da hakeri pored DNS Changer-a u sistem ubacuju mnoštvo drugih programa - lažne antiviruse, bankarskog Trojanca ZeuS, Spam Bot i druge. Pored toga, s obzirom da kontolišu DNS servere napadačima je omogućeno da menjaju rezultate DNS upita i usmeravaju korisnike ka bilo kojim sajtovima koje sami napadači odaberu. Na tim sajtovima može doći do novih pokušaja instalacije dodatnih malicioznih programa na zaraženom sistemu. Kontrola nad DNS daje napadaču mogućnost potpunog pristupa sistemu.

Uklanjanje DNSChanger Trojanca je izazov kao i kada je reč o TDSS rootkit-u. Simptomi po kojima možete prepoznati infekciju računara ovim Trojancem su otežan pristup poznatim sajtovima kao što je Google i dospevanje na nepoznate sajtove prepune reklamama. Ovi sajtovi se često koriste za drive-by download napade. Korisnici mogu da provere svoja DNS podešavanja na Windows-u na sledeći način: u Command Prompt treba ukucati ipconfig/all i ukoliko se u polju DNS servers pojavi adresa u nekom od sledećih rangova, to znači da je računar zaražen:

85.255.112.0 do 85.255.127.255

67.210.0.0 do 67.210.15.255

93.188.160.0 do 93.188.167.255

77.67.83.0 do 77.67.83.255

213.109.64.0 do 213.109.79.255

64.28.176.0 do 64.28.191.255


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Istraživači kompanije Avast upozorili su na piratske verzije popularnih igara u koje je ubačen malver Crackonosh. Crackonosh nije novi malver. On j... Dalje

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje