Kako prepoznati infekciju računara DNSChanger Trojancem

Opisi virusa, 15.11.2011, 08:19 AM

Kako prepoznati infekciju računara DNSChanger Trojancem

TDSS rootkit je malware koji se do sada pokazao da je veoma prilagodljiv te je kao takav u prethodne tri ili četiri godine korišćen u različitim vrstama napada. Pojavljivao se u drive-by download napadima, ciljanim napadima ali i drugim vrstama napada a njegova nova uloga je dostavljanje DNSChanger Trojanca.

Sam po sebi TDSS rootkit, poznat i pod nazivima Alureon ili TDL4 predstavlja veliki izazov prilikom pokušaja da bude uklonjen sa zaraženog računara. Međutim, i DNSChanger Trojanac može biti izvor velikih problema. Glavna funkcija DNSChanger Trojanca je da preotme internet saobraćaj zaraženog kompjutera menjajući DNS podešavanja na zaraženom računaru, i preusmeravajući korisnika ka malicioznim sajtovima umesto ka onim koje je nameravao da poseti. Kada DNSChanger promeni DNS podešavanja, DNS upiti sa zaraženog računara će biti preusmereni ka serverima koji su pod kontrolom napadača što omogućava napadačima da usmere korisnika takvog računara ka malicioznim sajtovima koji su takođe pod njihovom kontrolom.

Napadači ovom taktikom mogu instalirati druge maliciozne programe na zaraženom računaru ili ga iskoristiti kao deo “plati po kliku” šeme. Istraživači Dell Secureworks kažu da su do sada registrovali između 600000 i milion jedinstvenih IP adresa zaraženim DNSChanger Trojancem samo tokom nekoliko poslednjih nedelja i da su uočili TDSS rootkit koji preuzima i instalira Trojanca.

Prošle nedelje je sedam osoba uhapšeno i optuženo za učešće u u kriminalnoj šemi sa klikovima na linkove koja je kriminalnoj grupi donela milione dolara zarade. Grupa je optužena i za infekciju DNSChanger Trojancem četiri miliona računara korisnika iz stotinak zemalja sveta i manipulaciju online oglasima koja je rezultirala profitom od 14 miliona dolara koji je završio u džepovima optuženih. Šestoro uhapšenih su Estonci, a sedmi član bande je iz Rusije. Šestoro Estonaca trenutno čeka da budu izručeni SAD.

Istraživači kažu da je glavni problem infekcije DNSChanger Trojancem to što je takva infekcija znak da je zaraženi sistem inficiran većim brojem malicioznih programa i da hakeri pored DNS Changer-a u sistem ubacuju mnoštvo drugih programa - lažne antiviruse, bankarskog Trojanca ZeuS, Spam Bot i druge. Pored toga, s obzirom da kontolišu DNS servere napadačima je omogućeno da menjaju rezultate DNS upita i usmeravaju korisnike ka bilo kojim sajtovima koje sami napadači odaberu. Na tim sajtovima može doći do novih pokušaja instalacije dodatnih malicioznih programa na zaraženom sistemu. Kontrola nad DNS daje napadaču mogućnost potpunog pristupa sistemu.

Uklanjanje DNSChanger Trojanca je izazov kao i kada je reč o TDSS rootkit-u. Simptomi po kojima možete prepoznati infekciju računara ovim Trojancem su otežan pristup poznatim sajtovima kao što je Google i dospevanje na nepoznate sajtove prepune reklamama. Ovi sajtovi se često koriste za drive-by download napade. Korisnici mogu da provere svoja DNS podešavanja na Windows-u na sledeći način: u Command Prompt treba ukucati ipconfig/all i ukoliko se u polju DNS servers pojavi adresa u nekom od sledećih rangova, to znači da je računar zaražen:

85.255.112.0 do 85.255.127.255

67.210.0.0 do 67.210.15.255

93.188.160.0 do 93.188.167.255

77.67.83.0 do 77.67.83.255

213.109.64.0 do 213.109.79.255

64.28.176.0 do 64.28.191.255


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje