كد خبر : 2445     تعداد بازدید: 229

اخبار پژوهشکده
روش شناسايي و پاكسازي بدافزار DNSChanger
بنابر اطلاعات واصله، احتمال ايجاد وقفه در دسترسي به اينترنت سيستم‌هايي كه به بدافزار DNSChanger آلوده شده اند، در تاريخ 19 تيرماه سال جاري ( 9 جولاي ) وجود خواهد داشت. براي شناسايي و پاكسازي اين بدافزار مي توانيد روش هايي كه در ادامه ذكر شده است را اعمال نماييد.
شماره: IRCNE2012071544
تاريخ: 18/04/91
خلاصه آسيب پذيري :
بنابر اطلاعات واصله، احتمال ايجاد وقفه در دسترسي به اينترنت برخي از سيستم‌ها در تاريخ 19 تيرماه سال جاري ( 9 جولاي ) وجود خواهد داشت. در تاريخ 9 جولاي با از كارافتادن تمامي سرورهاي جعلي اين بدافزار پيش‌بيني ميشود، دسترسي به اينترنت حدود 64000 كاربر آمريكايي و همچنين 200000 كابر غير آمريكايي، كه سيستم هايشان هنوز آلوده هستند، به علت عدم توانايي دسترسي به DNS سرورهاي حقيقي، قطع شود. اين بدافزار در سيستم عامل هاي ويندوز و مكينتاش فعال مي باشد.
تشريح آسيب‌پذيري :
DNSChanger يك تروجان است كه در شكل‌هاي مختلف مانند دام هاي تبليغاتي به آلوده سازي سيستم قرباني پرداخته و پس از نصب بر روي سيستم، به صورت پيوسته تنظيمات DNS سيستم آلوده را به سمت سرورهاي تقلبي تغييرداده و جستجوها و URL هاي درخواست شده را به سمت وب سايت‌هاي مخرب به منظور سرقت اطلاعات شخصي و ايجاد درآمد و آگهي‌هاي نامشروع براي كلاهبرداران سوق مي‌دهد. نسخه‌هاي مختلفي از اين بدافزار جهت سيستم عامل‌هاي ويندوز وMac در سال 2008 يافت شد كه به نام‌هايOSX.RSPlug.A, OSX/Puper و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و ياTidServ شناخته مي‌شود.
تغيير DNS سيستم و عدم دسترسي به اينترنت و يا نمايش مكرر پيام The address is not valid از نشانه هاي آلودگي سيستم مي باشد.
روش انتشار بدافزار :
از طريق پست هاي الكترونيك اسپم و لينك هاي جعلي تبليغاتي
روش شناسايي آلودگي به بدافزار:
تنظيمات DNS سيستم را با فهرست آدرس هاي اشاره شده مقايسه نموده و درصورت تغيير آدرس DNS‌ سيستم به آدرسهاي زير سيستم آلوده مي باشد.
Starting IP
Ending IP
CIDR
85.255.112.0
85.255.127.255
85.255.112.0/20
67.210.0.0
67.210.15.255
67.210.0.0/20
93.188.160.0
93.188.167.255
93.188.160.0/21
77.67.83.0
77.67.83.255
77.67.83.0/24
213.109.64.0
213.109.79.255
213.109.64.0/20
64.28.176.0
64.28.191.255
64.28.176.0/20
· بررسي آلودگي سيستم در سيستم عامل ويندوز XP :
1. برنامه Run از طريق منوي Start سيستم اجرا شود
2. در قسمت نام برنامه مورد نظر براي اجرا، CMD تايپ گردد ( اجراي برنامه command prompt‌ سيستم )
3. در برنامه اجرا شده، دستور ipconfig /all تايپ و در خروجي نمايش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
· بررسي آلودگي سيستم در سيستم عامل ويندوز 7 :
1. برنامه Run از طريق منوي Start ، قسمت جستجوي سيستم اجرا شود
2. در قسمت نام برنامه مورد نظر براي اجرا، CMD تايپ گردد ( اجراي برنامه command prompt‌ سيستم )
3. در برنامه اجرا شده، دستور ipconfig /allcompartments /all تايپ گردد.
4. در خروجي نمايش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
· بررسي آلودگي سيستم در سيستم عامل مكينتاش :
1. بر روي آيكن Apple در سمت چپ صفحه نمايش كليك شده و System Preferences انتخاب گردد.
2. در قسمت جستجوي برنامه، networkتايپ گردد.
3. در خروجي نمايش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
نحوه‌ي برخورد با آسيب‌پذيري :
1. تهيه نسخه پشتيبان از اطلاعات حساس سيستم
2. اسكن سيستم توسط آنتي ويروس به روز و پاكسازي بدافزار
3. بازگرداندن تنظيمات DNS سيستم به وضعيت مورد اطمينان و يا حالت خودكار
Local Area connection Properties à TCP/IP Properties à DNS server Addresses / Automatically
4. بررسي مجدد تنظيمات DNS پس از پاكسازي بدافزار به منظور اطمينان از صحت تنظيمات
5. پاكسازي رمزهاي عبور ذخيره شده در مرورگر سيستم
Firefox : Tools à Options à Privacy à Clear all current history à Time range to clear ( everything ) à Clear Now
Internet explorer : Tools à Internet Options à General à Browsing history à Delete all
6. تغيير رمز عبور سيستم و رمز عبور مربوط به حساب هاي اينترنتي اعتباري و بانكي
سيستم تشخيص بدافزار بصورت خودكار تهيه شده توسط مركز ماهر و آپاي دانشگاه صنعتي شريف از طريق لينك قابل دسترسي مي باشد.
مطالب