Danes odklop lažnih DNS-strežnikov črva DNSChanger

Matej Huš

9. jul 2012 ob 20:52:09

Današnji dan so bolj rumeno obarvani mediji označili kot dan, ko bo od interneta odrezanih na tisoče računalnikov, ki še vedno niso očistili okužbe s črvom DNSChanger na svojih računalnikih. Čeprav je FBI danes po napovedih res izklopil lažne DNS-strežnike, večjih težav ali celo "sodnega dne", kot so nekateri napovedovali, ni bilo. Bo z današnjim dnem uporabnikom hitro postalo jasno, ali imajo omenjeno zalego na svojih računalnikih.

DNSChanger se je širil med letoma 2007 in 2011. Okužiti je zmogel tako računalnike z Windows kot Mac OS, in sicer je na vseh spremenil zapis za naslov DNS-strežnike. Računalniki so tako zahtevke preusmerjali na lažne strežnike, ki so jih vzpostavili pisci črva. Ti strežniki so vračali odgovore na poizvedbe, v katere so dodajali reklame, s čimer naj bi si pridobili vsaj 14 milijonov dolarjev koristi. Estonska policija je lani aretirala šest estonskih državljanov in enega Rusa, ki so bili osumljeni sodelovanja v prevari, FBI pa je zaplenil njihovo računalniško opremo na ameriškem ozemlju.

Ker bi vsi okuženi računalniki izgubili dostop do interneta (natančneje, ne bi mogli več razreševati domen, medtem ko bi brskanje direktno z IP-ji še vedno delovalo), če bi lažne DNS-strežnike ugasnili, je FBI pridobil odredbo za postavitev nadomestnih strežnikov. Te bi bili morali izključiti marca, a so dobili odlog do danes, ko so jih morali resnično ugasniti. Danes so tako običajen dostop do interneta izgubili okuženi računalniki, saj ti poizkušajo razreševati domenske naslove na neobstoječih DNS-strežnikih. Kdor ima okužen računalnik, to lahko preveri na SI-CERT-ovem naslovu, če ga seveda ni ustavila že nedostopnost interneta. Kljub napovedim, da naj bi bilo danes več sto tisoč računalnikov po svetu in okoli 76.000 v Sloveniji prizadetih, o večjih težavah še ni poročil. A po drugi strani je res, da prizadeti ne morejo na internet potožiti o svojih tegobah ...

Popravek: SI-CERT nas je na podlagi svojih virov obvestil:


76.000 IP naslovov v SI od nov 2011 naprej. Ni toliko okuženih danes. V zadnjem tednu ~2.500 unique IP naslovov.