Atenţie la virusul DNSChanger!
Sub titlul panicard «ATENŢIE! Pe 8 martie FBI ne lasă FĂRĂ INTERNET! Vezi ce e de făcut!» ziarul Libertatea a publicat în 29 februarie 2012 un articol care e în măsură să inoculeze îngrijorarea în sufletele internauţilor împătimiţi. Articolul (nesemnat), care citează ca sursă Agenţia de administrarea reţelei naţionale de informatică pentru educaţie şi cercetare, RoCSIRT –RoEduNet CSIRT - dar pe saitul căreia nu am reuşit să găsesc nicio informaţie referitoare la acest subiect - îmi aminteşte de un răspuns obţinut de la Radio Erevan: Este adevărat că cetăţeanului Ivan Ivanovici i s-a dat o maşină? Noi răspundem: Da, este adevărat, dar nu este vorba de Ivan Ivanovici, ci de Mihail Mihailovici, nu este vorba de o maşină ci de o bicicletă, şi nu i s-a dat, ci i s-a furat…
Textul articolului contrazice flagrant titlul de senzaţie. Nu este vorba că FBI ne-ar lăsa fără internet, ci dimpotrivă, că ne-a apărat de primejdii, dar aceasta numai până la 8 martie – dacă ar fi să-l credem pe autorul articolului din Libertatea - când ne lasă fără protecţia pe care a exercitat-o timp de trei luni.
Cuprins de spaima disconfortului reinstalării sistemului de operare şi a puzderiei de programe care funcţionează pe el, şi totodată conştient că în orice exagerare poate exista şi o bună doză de adevăr, m-am adresat d-lui Ciprian Sufiţchi N2YO, care cu amabilitatea şi promptitudinea care îl caracterizează mi-a confirmat că nu avem de-a face cu un hoax şi mi-a pus la dispoziţie linkul către saitul Reviews.cnet.com. Sub titlul FBI Tackles DNSChanger malware scam materialul face un scurt istoric al virusului şi al efectelor sale: (Extras)
«Dacă sunteţi familiarizat cu lumea viruşilor din ultimii câţiva ani ştiţi că unul dintre cele mai agresive atacuri asupra calculatoarelor personale şi a informaţiilor a fost DNSChanger. Este un «cal troian» (trojan horse), distribuit sub numeroase forme care, odată instalat, modifică setările DNS ale sistemului infectat, direcţionând căutările legitime şi URL-urile spre saituri de internet pernicioase. Acestea încearcă să fure informaţii personale şi să genereze în beneficiul răufăcătorilor venituri ilegale din reclame.
DNSChanger a fost descoperit în 2007 şi de atunci a infectat milioane de calculatoare, dintre acestea circa 500.000 în S.U.A., iar prin intermediul acestora se estimează că s-au realizat venituri de aproximativ 14 milioane de dolari. Succesul i-a determinat pe răufăcători să-şi extindă atacurile şi asupra sistemelor de operare Mac şi al hardwarelor de reţea, cum ar fi routerele, astfel că întregi reţele informatice au putut fi afectate. […]
Pentru a combate această ameninţare a fost creat rapid un număr de antiviruşi, care să identifice şi să elimine DNSChanger, dar pericolul se menţine şi afectează sistemele neprotejate corespunzător.
Recent FBI s-a implicat puternic în lupta împotriva DNSCharger, instituind operaţiunea Ghost Click, care a culminat cu arestarea a şase estonieni. Odată cu arestările au fost confiscate de FBI şi un număr de calculatoare care ar fi fost folosite ca servere false DNS şi care au fost înlocuite cu servere legitime.
Aceasta înseamnă că multe dintre milioanele de calculatoare actualmente încă infectate cu DNSChanger ar putea beneficia de acum de o activitate normală chiar dacă DNS-urile sistemelor lor (Domain Name System) au fost modificate de virus. Este fără îndoială un pas important spre direcţia cea bună, dar nu constituie o garanţie de securitate pentru sistemele infectate, mai ales pentru că virusul şi variantele sale ar putea să continue a fi active pe acestea. »
Materialul publicat pe Reviews.cnet.com oferă multiple procedee pentru a afla dacă în sistemul nostru de operare s-a cuibărit deja virusul cel periculos. Cea mai simplă dintre acestea, identificată şi sugerată de N2YO şi cu ajutorul căruia m-am edificat rapid în privinţa stării de sănătate a calculatorului meu (din fericire am scăpat de data aceasta, deşi «la mustaţă») este următoarea:
- Se deschide meniul START
- Se selectează RUN
- Se înscrie cmd.exe apoi se apasă ENTER
- În fereastra nou deschisă se înscrie comanda ipconfig/all apoi se apasă ENTER
- În informaţiile furnizate se caută liniile “DNS Servers”. De obicei acestea sunt două sau trei adrese IP. Se notează aceste adrese IP.
- Se verifică dacă adresele IP ale serverelor DNS notate se regăsesc în intervalul de adrese IP de mai jos, comparând numerele de la stânga la dreapta. Dacă adresele IP nu încep cu
85.255**
67.210**
93.188**
77.67**
213.209**
64.28** - atunci calculatorul dv. nu a fost infectat de niciuna dintre variantele malware-ului DNSChanger.
[Surse: ziarul Libertatea, Reviews.cnet.com, www.fbi.gov, informaţii de la N2YO (tks!)]
