DNSChanger 域名伺服器終結的影響
近日資訊保安新聞報導了美國聯邦調查局 (FBI) 將會在 3月8日 關閉與DNSChanger 殭屍網絡 (Botnet)有關的域名伺服器 (DNS - 備註 1),究竟這次事件對互聯網使用者構成什麼影響?香港電腦保安事故協調中心(HKCERT)藉此介紹 DNSChanger 背景資料、感染的檢查方法和處理方案,希望受影響的用戶可以及時處理。
[更新於 2012年3月7日]
|  |
背景
DNSChanger 殭屍網絡的惡意程式至今已有超過 2000 個 變種(參考 1) ,現時統計全球有超過400萬台電腦受感染,影響 100多個國家。這個殭屍網絡據稱自2007年起由一間位於愛沙尼亞的IT公司 "Rove Digital"運作,直至2011年幕後主腦被逮捕為止(參考 2)。 |
感染DNSChanger會有甚麼影響?
DNSChanger 惡意程式主要透過使用者訪問特定網站或下載線上影片觀看軟件時進行感染,DNSChanger 惡意程式感染電腦後,會偷偷地修改電腦上的域名伺服器設定,指向由犯罪集團所建立域名伺服器,完全控制 DNS 解析甚麼IP 地址。因此,犯罪集團可以利用DNSChanger殭屍網絡令使用者在不自覺的情況下訪問特定網站,包括更換使用者所訪問的網站廣告,進行點擊詐欺或是植 入其他惡意軟件等。 |  |
 | 為什麼是3月8日?
2011年11月,FBI在代號「Operation Ghost Click」 (參考 3) 的行動當中,成功關閉DNSChanger 殭屍網絡。根據法庭頒令,為了避免受感染的電腦與互聯網即時失去連絡,授權FBI設立多部臨時域名伺服器來維持域名查詢服務,讓受害者在 120 日內處理這個問題。這個頒令將於2012年3月8日屆滿,如果FBI決定按時關閉這些臨時域名伺服器,全球數以百萬計的DNSChanger殭屍電腦便無 法連接互聯網。要處理好這個問題,應盡快協助受害者清理惡意軟件。 |
如何知道是否受影響?
DNSChanger 惡意程式會感染微軟視窗和蘋果 Mac OS X作業系統,亦會嘗試入侵使用了預設登入名稱和密碼的小型辨公室或家用寬頻路由器等,更改域名伺服器設定。要檢查你的電腦或寬頻路由器是否受影響,你可以使用以下兩種方法:
方法1 - 使用DCWG EyeChart:
開啟網頁瀏頁瀏覽器(例如:Internet Explorer, Firefox, Chrome, Safari) ,訪問 DNS Changer Working Group (DCWG) (參考 4) 提供的其中一個測試網站:
 如果檢查結果是綠色,表示正常。 |  如果檢查結果是紅色,表示你的電腦或寬頻路由器的域名伺服器設定指向了已知有問題的伺服器。建議依照下面「如何處理受感染的電腦和寬頻路由器」作詳細檢查。 |
方法2 - 手動檢查:
1. 找出域名伺服器 IP 地址
電腦
依照以下 DCWG網頁指示,選擇你使用的操作系統並依照步驟來查閱你正在使用的域名伺服器IP 地址
寬頻路由器
若要檢查寬頻路由器的域名伺服器的 IP 地址,請參考供應商提供的說明文件。
2. 檢查域名伺服器的 IP 地址是否被 DNSChanger 採用
在以下FBI提供的線上檢查工具網頁內輸入剛才找到 IP 地址進行查詢
如果結果是 ”Your IP corresponds to a known rogue DNS server”, 表示你的電腦或寬頻路由器的域名伺服器設定指向了已知有問題的伺服器。建議依照下面「如何處理受感染的電腦和寬頻路由器」作詳細檢查。
 |
如何處理受感染的電腦和寬頻路由器?
電腦
|
寬頻路由器
建議依照供應商提供的說明文件,重設域名伺服器的設定和變更預設的管理帳戶密碼。
參考:
- http://www.paloaltonetworks.com/researchcenter/2012/02/dnschanger-rogue-dns-servers-taken-down/
- http://tw.trendmicro.com/tw/threats/vinfo/weeknews/article/20111118074159.html
- http://www.fbi.gov/news/stories/2011/november/malware_110911
- http://www.dcwg.net
- http://threatpost.com/en_us/blogs/us-judge-extends-life-ghost-click-infected-machines-030612
備註:
- DNS(域名解析系統) – 將域名和IP位址相互映射的一個分布式資料庫,能夠使人更方便的訪問互聯網,而不用牢記複雜難記的IP地址。
分享至