Kako prepoznati infekciju računara DNSChanger Trojancem

Opisi virusa, 15.11.2011, 08:19 AM

Kako prepoznati infekciju računara DNSChanger Trojancem

TDSS rootkit je malware koji se do sada pokazao da je veoma prilagodljiv te je kao takav u prethodne tri ili četiri godine korišćen u različitim vrstama napada. Pojavljivao se u drive-by download napadima, ciljanim napadima ali i drugim vrstama napada a njegova nova uloga je dostavljanje DNSChanger Trojanca.

Sam po sebi TDSS rootkit, poznat i pod nazivima Alureon ili TDL4 predstavlja veliki izazov prilikom pokušaja da bude uklonjen sa zaraženog računara. Međutim, i DNSChanger Trojanac može biti izvor velikih problema. Glavna funkcija DNSChanger Trojanca je da preotme internet saobraćaj zaraženog kompjutera menjajući DNS podešavanja na zaraženom računaru, i preusmeravajući korisnika ka malicioznim sajtovima umesto ka onim koje je nameravao da poseti. Kada DNSChanger promeni DNS podešavanja, DNS upiti sa zaraženog računara će biti preusmereni ka serverima koji su pod kontrolom napadača što omogućava napadačima da usmere korisnika takvog računara ka malicioznim sajtovima koji su takođe pod njihovom kontrolom.

Napadači ovom taktikom mogu instalirati druge maliciozne programe na zaraženom računaru ili ga iskoristiti kao deo “plati po kliku” šeme. Istraživači Dell Secureworks kažu da su do sada registrovali između 600000 i milion jedinstvenih IP adresa zaraženim DNSChanger Trojancem samo tokom nekoliko poslednjih nedelja i da su uočili TDSS rootkit koji preuzima i instalira Trojanca.

Prošle nedelje je sedam osoba uhapšeno i optuženo za učešće u u kriminalnoj šemi sa klikovima na linkove koja je kriminalnoj grupi donela milione dolara zarade. Grupa je optužena i za infekciju DNSChanger Trojancem četiri miliona računara korisnika iz stotinak zemalja sveta i manipulaciju online oglasima koja je rezultirala profitom od 14 miliona dolara koji je završio u džepovima optuženih. Šestoro uhapšenih su Estonci, a sedmi član bande je iz Rusije. Šestoro Estonaca trenutno čeka da budu izručeni SAD.

Istraživači kažu da je glavni problem infekcije DNSChanger Trojancem to što je takva infekcija znak da je zaraženi sistem inficiran većim brojem malicioznih programa i da hakeri pored DNS Changer-a u sistem ubacuju mnoštvo drugih programa - lažne antiviruse, bankarskog Trojanca ZeuS, Spam Bot i druge. Pored toga, s obzirom da kontolišu DNS servere napadačima je omogućeno da menjaju rezultate DNS upita i usmeravaju korisnike ka bilo kojim sajtovima koje sami napadači odaberu. Na tim sajtovima može doći do novih pokušaja instalacije dodatnih malicioznih programa na zaraženom sistemu. Kontrola nad DNS daje napadaču mogućnost potpunog pristupa sistemu.

Uklanjanje DNSChanger Trojanca je izazov kao i kada je reč o TDSS rootkit-u. Simptomi po kojima možete prepoznati infekciju računara ovim Trojancem su otežan pristup poznatim sajtovima kao što je Google i dospevanje na nepoznate sajtove prepune reklamama. Ovi sajtovi se često koriste za drive-by download napade. Korisnici mogu da provere svoja DNS podešavanja na Windows-u na sledeći način: u Command Prompt treba ukucati ipconfig/all i ukoliko se u polju DNS servers pojavi adresa u nekom od sledećih rangova, to znači da je računar zaražen:

85.255.112.0 do 85.255.127.255

67.210.0.0 do 67.210.15.255

93.188.160.0 do 93.188.167.255

77.67.83.0 do 77.67.83.255

213.109.64.0 do 213.109.79.255

64.28.176.0 do 64.28.191.255


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje

Lažni AI video generatori koji se reklamiraju na Facebook-u šire novi malver koji krade podatke korisnika

Lažni AI video generatori koji se reklamiraju na  Facebook-u šire novi malver koji krade podatke korisnika

Lažni AI alati za generisanje videa koriste se za distribuciju novog malvera za krađu informacija pod nazivom „Noodlophile“. Veb sajtovi... Dalje

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje