Kako prepoznati infekciju računara DNSChanger Trojancem

Opisi virusa, 15.11.2011, 08:19 AM

Kako prepoznati infekciju računara DNSChanger Trojancem

TDSS rootkit je malware koji se do sada pokazao da je veoma prilagodljiv te je kao takav u prethodne tri ili četiri godine korišćen u različitim vrstama napada. Pojavljivao se u drive-by download napadima, ciljanim napadima ali i drugim vrstama napada a njegova nova uloga je dostavljanje DNSChanger Trojanca.

Sam po sebi TDSS rootkit, poznat i pod nazivima Alureon ili TDL4 predstavlja veliki izazov prilikom pokušaja da bude uklonjen sa zaraženog računara. Međutim, i DNSChanger Trojanac može biti izvor velikih problema. Glavna funkcija DNSChanger Trojanca je da preotme internet saobraćaj zaraženog kompjutera menjajući DNS podešavanja na zaraženom računaru, i preusmeravajući korisnika ka malicioznim sajtovima umesto ka onim koje je nameravao da poseti. Kada DNSChanger promeni DNS podešavanja, DNS upiti sa zaraženog računara će biti preusmereni ka serverima koji su pod kontrolom napadača što omogućava napadačima da usmere korisnika takvog računara ka malicioznim sajtovima koji su takođe pod njihovom kontrolom.

Napadači ovom taktikom mogu instalirati druge maliciozne programe na zaraženom računaru ili ga iskoristiti kao deo “plati po kliku” šeme. Istraživači Dell Secureworks kažu da su do sada registrovali između 600000 i milion jedinstvenih IP adresa zaraženim DNSChanger Trojancem samo tokom nekoliko poslednjih nedelja i da su uočili TDSS rootkit koji preuzima i instalira Trojanca.

Prošle nedelje je sedam osoba uhapšeno i optuženo za učešće u u kriminalnoj šemi sa klikovima na linkove koja je kriminalnoj grupi donela milione dolara zarade. Grupa je optužena i za infekciju DNSChanger Trojancem četiri miliona računara korisnika iz stotinak zemalja sveta i manipulaciju online oglasima koja je rezultirala profitom od 14 miliona dolara koji je završio u džepovima optuženih. Šestoro uhapšenih su Estonci, a sedmi član bande je iz Rusije. Šestoro Estonaca trenutno čeka da budu izručeni SAD.

Istraživači kažu da je glavni problem infekcije DNSChanger Trojancem to što je takva infekcija znak da je zaraženi sistem inficiran većim brojem malicioznih programa i da hakeri pored DNS Changer-a u sistem ubacuju mnoštvo drugih programa - lažne antiviruse, bankarskog Trojanca ZeuS, Spam Bot i druge. Pored toga, s obzirom da kontolišu DNS servere napadačima je omogućeno da menjaju rezultate DNS upita i usmeravaju korisnike ka bilo kojim sajtovima koje sami napadači odaberu. Na tim sajtovima može doći do novih pokušaja instalacije dodatnih malicioznih programa na zaraženom sistemu. Kontrola nad DNS daje napadaču mogućnost potpunog pristupa sistemu.

Uklanjanje DNSChanger Trojanca je izazov kao i kada je reč o TDSS rootkit-u. Simptomi po kojima možete prepoznati infekciju računara ovim Trojancem su otežan pristup poznatim sajtovima kao što je Google i dospevanje na nepoznate sajtove prepune reklamama. Ovi sajtovi se često koriste za drive-by download napade. Korisnici mogu da provere svoja DNS podešavanja na Windows-u na sledeći način: u Command Prompt treba ukucati ipconfig/all i ukoliko se u polju DNS servers pojavi adresa u nekom od sledećih rangova, to znači da je računar zaražen:

85.255.112.0 do 85.255.127.255

67.210.0.0 do 67.210.15.255

93.188.160.0 do 93.188.167.255

77.67.83.0 do 77.67.83.255

213.109.64.0 do 213.109.79.255

64.28.176.0 do 64.28.191.255


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje