Op 9 juli sluit de FBI een netwerk van DNS-servers af waarvan veel mensen afhankelijk zijn geweest voor de juiste internettoegang. Deze servers waren oorspronkelijk onderdeel van een scam waarbij een misdaadring van Estse onderdanen een malwarepakket genaamd DNSChanger ontwikkelde en distribueerde, maar door de FBI werd geconfisqueerd en omgezet naar een legitieme DNS-service.

Deze malwaredreiging is wijdverspreid genoeg dat zelfs externe bedrijven zoals Google en Facebook en een aantal ISP's zoals Comcast, COX, Verizon en AT & T zich hebben ingezet om dit te verwijderen door automatische meldingen aan gebruikers uit te geven dat hun systemen geconfigureerd met het rogue DNS-netwerk.

Als u onlangs een waarschuwing hebt ontvangen bij het uitvoeren van een Google-zoekopdracht, browsen op Facebook of anderszins gebruik van het web dat beweert dat uw systeem mogelijk in gevaar is, kunt u overwegen een paar stappen te nemen om uw systeem te controleren op de aanwezigheid van de malware. Dit kan op een aantal manieren worden gedaan. Eerst kunt u de DNS-instellingen in uw systeem controleren om te zien of de servers die uw computer gebruikt deel uitmaken van het frauduleuze DNS-netwerk.

Op Mac-systemen open je de netwerksysteemvoorkeuren en selecteer je voor elke netwerkservice (wifi, ethernet, Bluetooth, enz.) De service en klik je vervolgens op de knop "Geavanceerd". Volg dit door het tabblad "DNS" te selecteren en noteer de vermelde DNS-servers. U kunt dit ook in de Terminal doen door eerst de volgende opdracht uit te voeren:

networksetup -listallnetworkservices

Nadat deze opdracht is uitgevoerd, voert u de volgende opdracht uit op elk van de vermelde namen (zorg ervoor dat alle asterisken vóór de namen worden verwijderd en zorg ervoor dat de namen tussen aanhalingstekens staan ​​als er spaties in staan):

networksetup -getdnsservers "SERVICE NAME"

Herhaal deze opdracht voor alle vermelde services (met name Ethernet- en Wi-Fi-verbindingen) om alle geconfigureerde DNS-servers weer te geven.

Op een Windows-machine (inclusief alle Windows-apparaten die u mogelijk op een virtuele machine hebt geïnstalleerd), kunt u het opdrachtregelhulpprogramma openen (selecteer "Uitvoeren" in het menu Start en voer "cmd" in of selecteer in Windows 7 "Alle programma's" "en kies vervolgens de opdrachtregel in de map Accessoires). Voer in de opdrachtregel de volgende opdracht uit om alle netwerkinterfacegegevens weer te geven, inclusief geconfigureerde DNS-server IP-adressen:

ipconfig / allemaal

Nadat u de DNS-servers van uw systeem hebt weergegeven, voert u deze in op de webpagina voor het controleren van de DNS-controlepunten van de FBI om te zien of deze worden geïdentificeerd als onderdeel van het DNS-netwerk met malafide bedoelingen. Naast het handmatig opzoeken en controleren van uw DNS-instellingen, zijn een aantal webservices verschenen die uw systeem testen op de DNSChanger-malware. De DNSChanger-werkgroep heeft een lijst met veel van deze services samengesteld, die u kunt gebruiken om uw systeem te testen (voor die in de VS kunt u naar dns-ok.us gaan om uw verbinding te testen).

Als deze tests schoon zijn, hoeft u zich nergens zorgen over te maken; Als ze u echter waarschuwingen geven, kunt u een antimalwarescanner gebruiken om de DNSChanger-malware te controleren en te verwijderen. Gezien het feit dat de malware in november 2011 abrupt werd stopgezet, is er voldoende tijd voor beveiligingsbedrijven om hun anti-malware-definities bij te werken en alle varianten van DNSChanger op te nemen. Als u een malwarescanner hebt en deze de laatste tijd niet hebt gebruikt, moet u deze volledig starten en bijwerken, gevolgd door een volledige scan van uw systeem uit te voeren. Doe dit voor elke pc en Mac in uw netwerk, en controleer bovendien de instellingen van uw router om te zien of de DNS-instellingen daar zijn die afkomstig zijn van uw internetprovider of zijn frauduleuze DNS-instellingen.

Als uw router of computer geen geldige DNS-serveradressen weergeeft nadat u de malware hebt verwijderd en uw systeem geen verbinding kan maken met internetdiensten, kunt u proberen uw systeem te configureren voor gebruik van een openbare DNS-service, zoals die van OpenDNS en Google, door de volgende IP-adressen in te voeren in de netwerkinstellingen van uw systeem:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Als u na maandag niet meer kunt internetten, is uw systeem- of netwerkrouter waarschijnlijk nog steeds geconfigureerd met de valse DNS-servers en moet u opnieuw proberen de malware van uw systemen te detecteren en te verwijderen. Gelukkig is de malware niet viral van aard, dus hij zal zichzelf niet automatisch verspreiden en systemen automatisch opnieuw infecteren. Daarom moeten de betrokken computers na verwijdering en eenmaal gebruikers geldige DNS-servers op hun systemen hebben ingesteld, de juiste toegang tot internet hebben.

Gerelateerde verhalen

• FBI pakt DNSChanger-malware-zwendel aan
• Operation Ghost Klik op DNS-servers om tot juli online te blijven
• In juli zou het web voor hordes mensen kunnen verdwijnen, waarschuwt de FBI
• Google waarschuwt gebruikers voor DNSChanger-malware-infectie
• Nieuwe DNSChanger Trojan-variant is op routers gericht

Achtergrond

DNS is het 'Domain Name System', dat fungeert als het telefoonboek van het internet en vertaalt mensvriendelijke URL's zoals 'www.cnet.com' naar hun respectieve IP-adressen die computers en routers gebruiken om verbindingen tot stand te brengen. Omdat DNS de interface is tussen de getypte URL en de getargete server, heeft de misdaadring een eigen DNS-netwerk gemaakt dat grotendeels normaal zou werken, maar zou de ring ook het verkeer op specifieke URL's naar nep-websites kunnen sturen voor de om persoonlijke gegevens te stelen of om mensen op advertenties te laten klikken.

Het instellen van het rogue DNS-netwerk zelf volstaat niet, omdat dit netwerk moet worden gespecificeerd in de instellingen van een computer om te worden gebruikt. Om dit te bewerkstelligen, creëerde de misdaadring de DNSChanger-malware (ook wel RSplug, Puper en Jahlav genoemd), die werd gedistribueerd als een trojaans paard en met succes miljoenen pc-systemen over de hele wereld infecteerde. Eenmaal geïnstalleerd, zou deze malware continu de DNS-instellingen voor de getroffen computer en zelfs voor netwerkrouters veranderen, om naar het malafide DNS-netwerk van de misdaadring te wijzen. Als gevolg hiervan, zelfs als mensen de DNS-instellingen van hun computer handmatig hebben gewijzigd, worden deze wijzigingen automatisch teruggezet door de malware op hun systemen.

Sinds miljoenen pc-gebruikers zijn geïnfecteerd door deze malware, hebben de FBI en andere overheidsinstanties nadat de misdaadring was neergehaald in een multilaterale sting in november 2011, Operation Ghost Click, besloten om het rogue DNS-netwerk niet uit te schakelen, omdat dit onmiddellijk zou hebben voorkomen de geïnfecteerde systemen van het oplossen van URL's, en daardoor het internet voor hen effectief zouden hebben afgesloten. In plaats daarvan werd het DNS-netwerk actief gehouden en omgezet naar een legitieme service, terwijl er inspanningen werden geleverd om gebruikers van de DNSChanger-malware op de hoogte te stellen en te wachten tot het aantal wereldwijde infecties daalde.

Aanvankelijk was het schurkenstaten DNS-netwerk gepland voor sluiting in maart van dit jaar; Hoewel het aantal infecties aanzienlijk daalde nadat de misdaadring was verbroken, is het aantal besmette computers relatief hoog gebleven, dus verlengde de FBI de deadline tot 9 juli (deze aankomende maandag). Helaas, zelfs wanneer deze deadline nadert, zijn duizenden pc-systemen over de hele wereld nog steeds besmet met de DNSChanger-malware en wanneer de servers worden afgesloten, kunnen deze systemen URL's niet meer naar IP-adressen omzetten.