بنابر اطلاعات واصله، احتمال ايجاد وقفه در دسترسي به اينترنت سيستمهايي كه به بدافزار DNSChanger آلوده شده اند، در تاريخ 19 تيرماه سال جاري ( 9 جولاي ) وجود خواهد داشت. براي شناسايي و پاكسازي اين بدافزار مي توانيد روش هايي كه در ادامه ذكر شده است را اعمال نماييد.
شماره: IRCNE2012071544
تاريخ: 18/04/91
خلاصه آسيب پذيري :
بنابر اطلاعات واصله، احتمال ايجاد وقفه در دسترسي به اينترنت برخي از سيستمها در تاريخ 19 تيرماه سال جاري ( 9 جولاي ) وجود خواهد داشت. در تاريخ 9 جولاي با از كارافتادن تمامي سرورهاي جعلي اين بدافزار پيشبيني ميشود، دسترسي به اينترنت حدود 64000 كاربر آمريكايي و همچنين 200000 كابر غير آمريكايي، كه سيستم هايشان هنوز آلوده هستند، به علت عدم توانايي دسترسي به DNS سرورهاي حقيقي، قطع شود. اين بدافزار در سيستم عامل هاي ويندوز و مكينتاش فعال مي باشد.
تشريح آسيبپذيري :
DNSChanger يك تروجان است كه در شكلهاي مختلف مانند دام هاي تبليغاتي به آلوده سازي سيستم قرباني پرداخته و پس از نصب بر روي سيستم، به صورت پيوسته تنظيمات DNS سيستم آلوده را به سمت سرورهاي تقلبي تغييرداده و جستجوها و URL هاي درخواست شده را به سمت وب سايتهاي مخرب به منظور سرقت اطلاعات شخصي و ايجاد درآمد و آگهيهاي نامشروع براي كلاهبرداران سوق ميدهد. نسخههاي مختلفي از اين بدافزار جهت سيستم عاملهاي ويندوز وMac در سال 2008 يافت شد كه به نامهايOSX.RSPlug.A, OSX/Puper و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و ياTidServ شناخته ميشود.
تغيير DNS سيستم و عدم دسترسي به اينترنت و يا نمايش مكرر پيام The address is not valid از نشانه هاي آلودگي سيستم مي باشد.
روش انتشار بدافزار :
از طريق پست هاي الكترونيك اسپم و لينك هاي جعلي تبليغاتي
روش شناسايي آلودگي به بدافزار:
تنظيمات DNS سيستم را با فهرست آدرس هاي اشاره شده مقايسه نموده و درصورت تغيير آدرس DNS سيستم به آدرسهاي زير سيستم آلوده مي باشد.
| Starting IP | Ending IP | CIDR |
| 85.255.112.0 | 85.255.127.255 | 85.255.112.0/20 |
| 67.210.0.0 | 67.210.15.255 | 67.210.0.0/20 |
| 93.188.160.0 | 93.188.167.255 | 93.188.160.0/21 |
| 77.67.83.0 | 77.67.83.255 | 77.67.83.0/24 |
| 213.109.64.0 | 213.109.79.255 | 213.109.64.0/20 |
| 64.28.176.0 | 64.28.191.255 | 64.28.176.0/20 |
· بررسي آلودگي سيستم در سيستم عامل ويندوز XP :
1. برنامه Run از طريق منوي Start سيستم اجرا شود
2. در قسمت نام برنامه مورد نظر براي اجرا، CMD تايپ گردد ( اجراي برنامه command prompt سيستم )
3. در برنامه اجرا شده، دستور ipconfig /all تايپ و در خروجي نمايش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
· بررسي آلودگي سيستم در سيستم عامل ويندوز 7 :
1. برنامه Run از طريق منوي Start ، قسمت جستجوي سيستم اجرا شود
2. در قسمت نام برنامه مورد نظر براي اجرا، CMD تايپ گردد ( اجراي برنامه command prompt سيستم )
3. در برنامه اجرا شده، دستور ipconfig /allcompartments /all تايپ گردد.
4. در خروجي نمايش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
· بررسي آلودگي سيستم در سيستم عامل مكينتاش :
1. بر روي آيكن Apple در سمت چپ صفحه نمايش كليك شده و System Preferences انتخاب گردد.
2. در قسمت جستجوي برنامه، networkتايپ گردد.
3. در خروجي نمايش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
نحوهي برخورد با آسيبپذيري :
1. تهيه نسخه پشتيبان از اطلاعات حساس سيستم
2. اسكن سيستم توسط آنتي ويروس به روز و پاكسازي بدافزار
3. بازگرداندن تنظيمات DNS سيستم به وضعيت مورد اطمينان و يا حالت خودكار
Local Area connection Properties à TCP/IP Properties à DNS server Addresses / Automatically
4. بررسي مجدد تنظيمات DNS پس از پاكسازي بدافزار به منظور اطمينان از صحت تنظيمات
5. پاكسازي رمزهاي عبور ذخيره شده در مرورگر سيستم
Firefox : Tools à Options à Privacy à Clear all current history à Time range to clear ( everything ) à Clear Now
Internet explorer : Tools à Internet Options à General à Browsing history à Delete all
6. تغيير رمز عبور سيستم و رمز عبور مربوط به حساب هاي اينترنتي اعتباري و بانكي
سيستم تشخيص بدافزار بصورت خودكار تهيه شده توسط مركز ماهر و آپاي دانشگاه صنعتي شريف از طريق لينك قابل دسترسي مي باشد.
مطالب