» »

Danes odklop lažnih DNS-strežnikov črva DNSChanger

Danes odklop lažnih DNS-strežnikov črva DNSChanger

ZDNet - Današnji dan so bolj rumeno obarvani mediji označili kot dan, ko bo od interneta odrezanih na tisoče računalnikov, ki še vedno niso očistili okužbe s črvom DNSChanger na svojih računalnikih. Čeprav je FBI danes po napovedih res izklopil lažne DNS-strežnike, večjih težav ali celo "sodnega dne", kot so nekateri napovedovali, ni bilo. Bo z današnjim dnem uporabnikom hitro postalo jasno, ali imajo omenjeno zalego na svojih računalnikih.

DNSChanger se je širil med letoma 2007 in 2011. Okužiti je zmogel tako računalnike z Windows kot Mac OS, in sicer je na vseh spremenil zapis za naslov DNS-strežnike. Računalniki so tako zahtevke preusmerjali na lažne strežnike, ki so jih vzpostavili pisci črva. Ti strežniki so vračali odgovore na poizvedbe, v katere so dodajali reklame, s čimer naj bi si pridobili vsaj 14 milijonov dolarjev koristi. Estonska policija je lani aretirala šest estonskih državljanov in enega Rusa, ki so bili osumljeni sodelovanja v prevari, FBI pa je zaplenil njihovo računalniško opremo na ameriškem ozemlju.

Ker bi vsi okuženi računalniki izgubili dostop do interneta (natančneje, ne bi mogli več razreševati domen, medtem ko bi brskanje direktno z IP-ji še vedno delovalo), če bi lažne DNS-strežnike ugasnili, je FBI pridobil odredbo za postavitev nadomestnih strežnikov. Te bi bili morali izključiti marca, a so dobili odlog do danes, ko so jih morali resnično ugasniti. Danes so tako običajen dostop do interneta izgubili okuženi računalniki, saj ti poizkušajo razreševati domenske naslove na neobstoječih DNS-strežnikih. Kdor ima okužen računalnik, to lahko preveri na SI-CERT-ovem naslovu, če ga seveda ni ustavila že nedostopnost interneta. Kljub napovedim, da naj bi bilo danes več sto tisoč računalnikov po svetu in okoli 76.000 v Sloveniji prizadetih, o večjih težavah še ni poročil. A po drugi strani je res, da prizadeti ne morejo na internet potožiti o svojih tegobah ...

Popravek: SI-CERT nas je na podlagi svojih virov obvestil:

76.000 IP naslovov v SI od nov 2011 naprej. Ni toliko okuženih danes. V zadnjem tednu ~2.500 unique IP naslovov.


19 komentarjev

OK.d ::

so se pa proslavili na si-certu, ko so objavili stran kje lahko preveriš ali imaš okužen comp. , ne vem zakaj niso to naredili 1 dan prej-šalabajzerji
LPOK.d

BlueRunner ::

OK.d je izjavil:

so se pa proslavili na si-certu, ko so objavili stran kje lahko preveriš ali imaš okužen comp. , ne vem zakaj niso to naredili 1 dan prej-šalabajzerji

To stran je SI-CERT oglaseval po razlicnih medijih ze najmanj dva tedna. Oziroma uradno na svoji spletni strani ze od 22.6.2012.

http://www.cert.si/obvestila/obvestilo/...

Ce je kdo v tej zgodbi salabajzer, si to ti.

OK.d ::

ja kaj pa to rabi navadnim smrtnikom, če ne poznajo te strani ali mislijo da so sami sebi namen, če ne bi mediji razbobnali danes sploh ne bi vedeli za to zadevo, kakor tudi slo-tech novice katere objavijo kot zadnje8-O
LPOK.d

Wox ::

Pa tudi tisti, ki uporabljajo Google, kot iskalnik po spletu (in teh ni malo) in Facebook (tudi teh ni malo), sta ti dve strani že kar nekaj časa obveščali, da je njihov računalnik ali router morebiti lahko okužen.
Commodore 64

jest10 ::

OK.d je izjavil:

ja kaj pa to rabi navadnim smrtnikom, če ne poznajo te strani ali mislijo da so sami sebi namen, če ne bi mediji razbobnali danes sploh ne bi vedeli za to zadevo, kakor tudi slo-tech novice katere objavijo kot zadnje8-O

10.2.2012 Zadnji?:|

OK.d ::

preberi še enkrat cel članek, katerega si linkal;)
LPOK.d

BlueRunner ::

OK.d je izjavil:

ja kaj pa to rabi navadnim smrtnikom, če ne poznajo te strani ali mislijo da so sami sebi namen, če ne bi mediji razbobnali danes sploh ne bi vedeli za to zadevo, kakor tudi slo-tech novice katere objavijo kot zadnje8-O

Poglej. Ce si popolnoma nepismen in zivis nekje v rovtah pod skalo, kjer se dimni signali ne vlecejo dobro, potem ti je oprosceno.

Sicer pa so to objavili najmanj:
- SI-CERT na njihovi FB strani (22.6.2012)
- portal Varni na Internetu (22.6.2012)
- Amis - pomoc uporabnikom (22.6.2012)
- 24ur novice (26.6.2012)
- portal siol.net (26.6.2012)
- Zveza potrosnikov Slovenije (27.6.2012)
- safe.si (2.7.2012)

... itd.

OK.d je izjavil:

preberi še enkrat cel članek, katerega si linkal;)

Kar ti si ga preberi. Samo zato, ker si SI-CERT pametno izmisljuje svoje oznake, to se ne pomeni, da ni bila stvar objavljena ze tedne nazaj. Na vecih koncih.

Zgodovina sprememb…

OK.d ::

jebiga če ne brskam po teh straneh
LPOK.d

BlueRunner ::

OK.d je izjavil:

jebiga če ne brskam po teh straneh

Jebiga, ce potem sam izpades najvecji salabajzer na sceni.

OK.d ::

boljše to kot tistih 2500 nesrečnikov v slo., kateri niso vedeli kaj jih je doletelo
LPOK.d

BlueRunner ::

Se strinjam. Ampak ne mores SI-CERT razglasiti za salabajzerje, ce so sami opozarjali in pozivali ze tedne nazaj, copy-paste studentski mediji, ki so sposobni povzeti "novico" sele potem, ko se pojavi na STA, pa so bili to sposobni povzeti sele danes. Ajde. Morda kaksen celo ze vceraj.

MrStein ::

To je TDSS ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

filip007 ::

http://dns-ok.si/ je samo output obrazec, kaj sploh preverjajo?

DNS se lahko napiše v mrežno, enako kot je že bilo v modem časih.
http://www.siol.net/pomoc_in_podpora/in...
Prenosnik, konzola, TV, PC upokojen.

TheRiddle ::

Če v routerju nimaš privzetega IP-ja, uporabniškega imena in gesla ter da to ni shranjeno nekje med zaznamki v brskalniku, potem virus za Windows/MacOS ne bo mogel spreminjati nastavitev routerja. Drug problem so mrežne kartice, samo to niti ni tako težavno, pač greš na nastavitve in daš na avtomatsko pridobivanje in problem rešen.
zakaj bi poenostavil, če lahko zakompliciram :D

MisterR ::

Katere DNSje uporabljate tisti, kateri igrate poker/stave ? Namreč pri telemachu ne morem dostopat do bwin in podobnih zato uporabljam google dns.

phong ::

Zakaj pa odklop strežnikov?
Če jih že toliko časa ohranjajo pri življenju, zakaj v DNS recorde vseh domen ne vnesejo svojega strežnika z navodili za spremembo DNS-jev? Vsak okuženi bi s tem vedel, kaj in kako.

BlueRunner ::

phong je izjavil:

Zakaj pa odklop strežnikov?
Če jih že toliko časa ohranjajo pri življenju, zakaj v DNS recorde vseh domen ne vnesejo svojega strežnika z navodili za spremembo DNS-jev? Vsak okuženi bi s tem vedel, kaj in kako.

Ker je to prestrezanje prometa. Lahko so dodali svoja DNS imena za potrebe preverjanja, ne smejo pa kar tako "veleprodajno" preusmerjati prometa okuzenih uporabnikov, ker za to nimajo pravne podlage.

RejZoR ::

Če ti preusmerijo na navodila kako proper rešit zadevo, why not? Ziher se da naredit programček, ki bi resetiral DNS nastavitve nazaj na tovarniške...
Angry Sheep Blog @ www.rejzor.com

BlueRunner ::

Kaj taksnega za FBI ni legalno.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

D-Linkovi usmerjevalniki že tri mesece tarče napadov

Oddelek: Novice / Varnost
63510 (2213) SubjectX
»

Problem z brezžično povezavo

Oddelek: Omrežja in internet
102339 (2097) solatko
»

Danes odklop lažnih DNS-strežnikov črva DNSChanger

Oddelek: Novice / Omrežja / internet
196425 (5292) BlueRunner
»

Določanje fizične lokacije IP-naslovov na 700 metrov

Oddelek: Novice / Omrežja / internet
156203 (4864) vasquez
»

Nov napad na domača omrežja: Drive-By Pharming

Oddelek: Novice / Varnost
335938 (4574) Azrael

Več podobnih tem