Kako prepoznati infekciju računara DNSChanger Trojancem

Opisi virusa, 15.11.2011, 08:19 AM

Kako prepoznati infekciju računara DNSChanger Trojancem

TDSS rootkit je malware koji se do sada pokazao da je veoma prilagodljiv te je kao takav u prethodne tri ili četiri godine korišćen u različitim vrstama napada. Pojavljivao se u drive-by download napadima, ciljanim napadima ali i drugim vrstama napada a njegova nova uloga je dostavljanje DNSChanger Trojanca.

Sam po sebi TDSS rootkit, poznat i pod nazivima Alureon ili TDL4 predstavlja veliki izazov prilikom pokušaja da bude uklonjen sa zaraženog računara. Međutim, i DNSChanger Trojanac može biti izvor velikih problema. Glavna funkcija DNSChanger Trojanca je da preotme internet saobraćaj zaraženog kompjutera menjajući DNS podešavanja na zaraženom računaru, i preusmeravajući korisnika ka malicioznim sajtovima umesto ka onim koje je nameravao da poseti. Kada DNSChanger promeni DNS podešavanja, DNS upiti sa zaraženog računara će biti preusmereni ka serverima koji su pod kontrolom napadača što omogućava napadačima da usmere korisnika takvog računara ka malicioznim sajtovima koji su takođe pod njihovom kontrolom.

Napadači ovom taktikom mogu instalirati druge maliciozne programe na zaraženom računaru ili ga iskoristiti kao deo “plati po kliku” šeme. Istraživači Dell Secureworks kažu da su do sada registrovali između 600000 i milion jedinstvenih IP adresa zaraženim DNSChanger Trojancem samo tokom nekoliko poslednjih nedelja i da su uočili TDSS rootkit koji preuzima i instalira Trojanca.

Prošle nedelje je sedam osoba uhapšeno i optuženo za učešće u u kriminalnoj šemi sa klikovima na linkove koja je kriminalnoj grupi donela milione dolara zarade. Grupa je optužena i za infekciju DNSChanger Trojancem četiri miliona računara korisnika iz stotinak zemalja sveta i manipulaciju online oglasima koja je rezultirala profitom od 14 miliona dolara koji je završio u džepovima optuženih. Šestoro uhapšenih su Estonci, a sedmi član bande je iz Rusije. Šestoro Estonaca trenutno čeka da budu izručeni SAD.

Istraživači kažu da je glavni problem infekcije DNSChanger Trojancem to što je takva infekcija znak da je zaraženi sistem inficiran većim brojem malicioznih programa i da hakeri pored DNS Changer-a u sistem ubacuju mnoštvo drugih programa - lažne antiviruse, bankarskog Trojanca ZeuS, Spam Bot i druge. Pored toga, s obzirom da kontolišu DNS servere napadačima je omogućeno da menjaju rezultate DNS upita i usmeravaju korisnike ka bilo kojim sajtovima koje sami napadači odaberu. Na tim sajtovima može doći do novih pokušaja instalacije dodatnih malicioznih programa na zaraženom sistemu. Kontrola nad DNS daje napadaču mogućnost potpunog pristupa sistemu.

Uklanjanje DNSChanger Trojanca je izazov kao i kada je reč o TDSS rootkit-u. Simptomi po kojima možete prepoznati infekciju računara ovim Trojancem su otežan pristup poznatim sajtovima kao što je Google i dospevanje na nepoznate sajtove prepune reklamama. Ovi sajtovi se često koriste za drive-by download napade. Korisnici mogu da provere svoja DNS podešavanja na Windows-u na sledeći način: u Command Prompt treba ukucati ipconfig/all i ukoliko se u polju DNS servers pojavi adresa u nekom od sledećih rangova, to znači da je računar zaražen:

85.255.112.0 do 85.255.127.255

67.210.0.0 do 67.210.15.255

93.188.160.0 do 93.188.167.255

77.67.83.0 do 77.67.83.255

213.109.64.0 do 213.109.79.255

64.28.176.0 do 64.28.191.255


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje