DNSChanger Phần mềm độc hại / Rogue DNS - Nhật ký Internet Doomsday ngày 9 tháng 7

Trở lại vào cuối năm 2011, FBI đã tháo gỡ một vòng lừa đảo internet lớn và tinh vi đằng sau DNSChangervirus / phần mềm độc hại. Một phần của phần mềm độc hại này liên quan đến việc chuyển các yêu cầu DNS của nạn nhân đến các máy chủ lừa đảo được kiểm soát bởi các tác giả phần mềm độc hại.

Sau khi bắt giữ thủ phạm, FBI và ISC đã thiết lập các máy chủ DNS "sạch" để thay thế các máy chủ lừa đảo được sử dụng bởi các tác giả phần mềm độc hại. Các máy chủ này dự kiến sẽ ngừng hoạt động vào ngày 9 tháng 7 năm 2012.

Có rất nhiều bài viết, chủ yếu là bài này thu hút sự chú ý của tôi. Thành thật mà nói, tôi chưa bao giờ nghe thấy bất cứ điều gì về điều này cho đến sáng nay khi ông chủ của tôi yêu cầu tôi "chuẩn bị" một cái gì đó cho đồng nghiệp của chúng tôi để giữ họ ở lại.

Đầu tiên và quan trọng nhất, có ai khác nghe về điều này và tôi có nên lo lắng không? DNS trong môi trường làm việc của tôi không nằm trong phạm vi DNS Rogue bị ảnh hưởng, nhưng điều đó không nói rằng tôi ở nhà hoặc bất kỳ đồng nghiệp nào của tôi có thể.

Thứ hai, tôi nên đi "chuẩn bị" như thế nào để đảm bảo mọi thứ an toàn và hoạt động như ngày 9 tháng 7?

domain-name-system internet

— C-chóng mặt
nguồn

Hơi muộn để bắt đầu lo lắng về điều này ngay bây giờ ... nó giống như bắt đầu những nỗ lực Y2K của bạn vào Giáng sinh '99.

— womble

Đúng, nhưng tôi không lo lắng về điều đó lol, đó là ông chủ của tôi.

— C-dizzle

Tại sao điều này không có trên radar của bạn vài tháng trước? Nó chỉ mới diễn ra được 7 tháng, với rất nhiều cuộc thảo luận ở những nơi mà các sysadins chuyên nghiệp thảo luận về những điều như vậy. NANOG đã thảo luận về nó gần như không ngừng.

— womble

@womble tại sao FBI không yêu cầu máy chủ DNS của họ báo cáo lại các hồ sơ "giả mạo" cho tất cả các trang web hướng người dùng bị nhiễm đến một trang có thông tin về phần mềm độc hại, với hướng dẫn để thay đổi lại? Thông thường tôi coi thường khi các nhà cung cấp DNS làm những việc như thế này, nhưng có vẻ như đây sẽ là một ngoại lệ chấp nhận được.

— Tom Marthenal

@TomMarthenal: Có một số phần của Internet không phải là lưu lượng HTTP.

— womble

Câu trả lời:

Đó không phải là máy chủ DNS của bạn mà bạn sẽ phải lo lắng. Đó là các máy khách bị nhiễm phần mềm độc hại này.

Về cơ bản những gì đã xảy ra là khi FBI bắt giữ các tác giả của virus, họ đã kiểm soát các máy chủ DNS mà họ đang chạy. Bây giờ, họ không thể điều hành họ mãi mãi bằng cách sử dụng tiền của người nộp thuế và họ đang trong một khoảng thời gian giới hạn do lệnh của tòa án đã được ban hành.

Cuối cùng, bạn cần đảm bảo rằng máy khách của bạn không bị nhiễm vi-rút.

Có rất nhiều thông tin tốt trên trang web FBI Operation Ghost Click

— Zypher
nguồn

Ngoài những gì Zypher đã đề cập, bạn cũng có thể muốn xem bài đăng trên blog của ISC về điều này và trang web của Nhóm thay đổi DNS dành riêng cho mớ hỗn độn này.

Cụ thể, trang ISC có đề cập lại: sau: cách phát hiện nếu hệ thống của bạn bị ảnh hưởng:

DNS của bạn có ổn không?
Một nửa tá đội bảo mật Internet quốc gia trên khắp thế giới đã tạo ra các trang web đặc biệt sẽ hiển thị thông báo cảnh báo cho các nạn nhân tiềm năng của việc nhiễm DNS Changer.
Ví dụ: nếu bạn truy cập http://dns-ok.de/ thì bạn sẽ nhận được một trang tiếng Đức nói rằng bạn dường như bị nhiễm bệnh hoặc bạn dường như không bị nhiễm bệnh. Andrew Fried và tôi đã tạo http://dns-ok.us/ cho cùng một mục đích, mặc dù tất nhiên trang của chúng tôi bằng tiếng Anh Mỹ.
Danh sách đầy đủ các trang web Kiểm tra DNS DNS này được công bố trên trang web của DCWGcùng với rất nhiều thông tin về mối đe dọa, các vụ bắt giữ, triệt phá, lệnh của tòa án và thông tin dọn dẹp cho các nạn nhân. Bây giờ chúng ta đã có tất cả các trang web có thể nói với ai đó nếu họ là nạn nhân và nói cho nạn nhân biết phải làm gì để dọn dẹp máy tính và bộ định tuyến gia đình của họ, vấn đề dường như khiến mọi người quan tâm.

— voretaq7
nguồn