Comment détecter et réparer une machine infectée par DNSChanger

Le 9 juillet, le FBI va fermer un réseau de serveurs DNS sur lequel de nombreuses personnes ont compté pour obtenir un accès Internet adéquat. Ces serveurs faisaient à l'origine partie d'une arnaque au cours de laquelle un groupe criminel estonien a développé et distribué un paquet de logiciels malveillants appelé DNSChanger, mais que le FBI a saisi et converti en un service DNS légitime.

Cette arnaque de malware a été suffisamment répandue pour que même des sociétés tierces telles que Google et Facebook, ainsi que plusieurs FAI tels que Comcast, COX, Verizon et AT & T, se soient associés pour tenter de le supprimer en envoyant des notifications automatiques aux utilisateurs l'informant de leurs systèmes. configuré avec le réseau DNS non autorisé.

Si vous avez récemment reçu un avertissement lors de la recherche sur Google, de la navigation sur Facebook ou de toute autre utilisation du Web prétendant que votre système pourrait être compromis, vous pouvez envisager de procéder à quelques étapes pour vérifier la présence du programme malveillant sur votre système. Cela peut être fait de plusieurs manières. Tout d'abord, vous pouvez vérifier les paramètres DNS de votre système pour voir si les serveurs utilisés par votre ordinateur font partie du réseau DNS non autorisé.

Sur les systèmes Mac, ouvrez les préférences système Réseau et pour chaque service réseau (Wi-Fi, Ethernet, Bluetooth, etc.), sélectionnez le service, puis cliquez sur le bouton "Avancé". Suivez cette procédure en sélectionnant l'onglet "DNS" et en prenant note des serveurs DNS répertoriés. Vous pouvez également le faire dans le terminal en exécutant d'abord la commande suivante:

networksetup -listallnetworkservices

Une fois cette commande exécutée, exécutez ensuite la commande suivante sur chacun des noms répertoriés (veillez à supprimer tout astérisque placé devant les noms et assurez-vous que les noms sont entre guillemets s'ils contiennent des espaces):

networksetup -getdnsservers "NOM DU SERVICE"

Répétez cette commande pour tous les services répertoriés (notamment les connexions Ethernet et Wi-Fi) pour répertorier tous les serveurs DNS configurés.

Sur un ordinateur Windows (y compris ceux installés sur une machine virtuelle), vous pouvez ouvrir l'outil de ligne de commande (sélectionnez "Exécuter" dans le menu Démarrer et entrez "cmd" ou, sous Windows 7, sélectionnez "Tous les programmes "puis choisissez la ligne de commande dans le dossier Accessoires). Dans la ligne de commande, exécutez la commande suivante pour répertorier toutes les informations sur l'interface réseau, y compris les adresses IP de serveur DNS configurées:

ipconfig / all

Une fois que les serveurs DNS de votre système sont répertoriés, entrez-les dans la page Web du vérificateur DNS du FBI pour voir s'ils sont identifiés comme faisant partie du réseau DNS non autorisé. En plus de rechercher et de vérifier manuellement vos paramètres DNS, un certain nombre de services Web sont apparus pour tester votre système contre le programme malveillant DNSChanger. Le groupe de travail DNSChanger a compilé une liste de plusieurs de ces services, que vous pouvez utiliser pour tester votre système (pour ceux situés aux États-Unis, vous pouvez aller à dns-ok.us pour tester votre connexion).

Si ces tests sont irréprochables, vous n'avez alors plus rien à craindre; Toutefois, s'ils vous avertissent, vous pouvez utiliser un scanner anti-programme malveillant pour rechercher et supprimer le programme malveillant DNSChanger. Étant donné que le programme malveillant a été stoppé brutalement en novembre 2011, les sociétés de sécurité ont amplement le temps de mettre à jour leurs définitions anti-programme malveillant pour inclure toutes les variantes de DNSChanger. Si vous avez un scanner de logiciels malveillants et que vous ne l'avez pas utilisé récemment, veillez à le lancer et à le mettre à jour complètement, puis à effectuer une analyse complète de votre système. Faites cela pour tous les PC et Mac de votre réseau, et vérifiez également les paramètres de votre routeur pour voir si les paramètres DNS de votre FAI sont corrects ou s'il s'agit de paramètres DNS non autorisés.

Si votre routeur ou votre ordinateur n'affiche aucune adresse de serveur DNS valide après avoir supprimé le logiciel malveillant et que votre système ne parvient pas à se connecter aux services Internet, vous pouvez essayer de le configurer pour qu'il utilise un service DNS public, tel que ceux fournis par OpenDNS. et Google, en entrant les adresses IP suivantes dans les paramètres réseau de votre système:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

Si après lundi, vous ne parveniez plus à accéder à Internet, il est probable que votre système ou votre routeur réseau soit toujours configuré avec les serveurs DNS non autorisés. Vous devrez à nouveau tenter de détecter et de supprimer les logiciels malveillants de vos systèmes. Heureusement, le malware n’est pas de nature virale, il ne se propage donc pas automatiquement et ne réinfecte pas automatiquement les systèmes. Par conséquent, une fois supprimés et une fois que les utilisateurs ont configuré des serveurs DNS valides sur leurs systèmes, les ordinateurs affectés doivent avoir un accès approprié à Internet.

Histoires connexes

  • Le FBI s'attaque à l'arnaque des programmes malveillants de DNSChanger
  • Operation Ghost Cliquez sur les serveurs DNS pour rester en ligne jusqu'en juillet.
  • Le FBI avertit que le Web pourrait disparaître pour les hordes de personnes en juillet
  • Google avertira les utilisateurs de l'infection par un programme malveillant DNSChanger
  • La nouvelle variante de DNSChanger Trojan cible les routeurs

Contexte

Le DNS est le "système de noms de domaine", qui agit comme l'annuaire téléphonique d'Internet et traduit les URL conviviales pour les utilisateurs, telles que "www.cnet.com", en leurs adresses IP respectives utilisées par les ordinateurs et les routeurs pour établir des connexions. Étant donné que DNS constitue l'interface entre l'URL dactylographiée et le serveur ciblé, l'anneau criminel a créé son propre réseau DNS qui fonctionnerait normalement en grande partie, mais permettrait également à l'anneau de rediriger de manière arbitraire le trafic d'URL spécifiques vers de faux sites Web. voler des informations personnelles ou amener les gens à cliquer sur des publicités.

La configuration du réseau DNS non fiable en soi ne suffit pas, car ce réseau doit être spécifié dans les paramètres de l'ordinateur pour pouvoir être utilisé. Pour ce faire, le réseau criminel a créé le programme malveillant DNSChanger (également appelé RSplug, Puper et Jahlav), distribué sous forme de cheval de Troie et ayant infecté avec succès des millions de systèmes informatiques dans le monde. Une fois installé, ce logiciel malveillant modifierait en permanence les paramètres DNS de l'ordinateur affecté et même des routeurs de réseau, pour pointer vers le réseau DNS non autorisé de l'anneau criminel. Par conséquent, même si les utilisateurs modifiaient manuellement les paramètres DNS de leur ordinateur, ces modifications seraient automatiquement annulées par le programme malveillant installé sur leurs systèmes.

Depuis que des millions d'utilisateurs de PC ont été infectés par ce malware, une fois que la criminalité a été supprimée en novembre 2011 sous le nom d'opération multilatérale appelée Operation Ghost Click, le FBI et d'autres autorités gouvernementales ont décidé de ne pas désactiver le réseau DNS non autorisé, ce qui aurait immédiatement empêché les systèmes infectés ne résolvent pas les URL, ce qui aurait effectivement arrêté Internet pour eux. Au lieu de cela, le réseau DNS a été maintenu actif et converti en un service légitime, tandis que des efforts étaient déployés pour informer les utilisateurs du programme malveillant DNSChanger et attendre que le nombre d'infections dans le monde diminue.

Initialement, le réseau DNS non autorisé devait être fermé en mars de cette année; Cependant, bien que le taux d’infections ait considérablement diminué une fois la série de crimes établie, le nombre d’ordinateurs infectés est resté relativement élevé. Le FBI a donc reporté la date limite au 9 juillet (lundi prochain). Malheureusement, même à l'approche de ce délai, des milliers de systèmes informatiques dans le monde sont toujours infectés par le malware DNSChanger. Lorsque les serveurs sont arrêtés, ces systèmes ne sont plus en mesure de résoudre les URL en adresses IP.

Articles Populaires

Méthode cachée pour supprimer plusieurs photos à la fois depuis l'application iOS Messages

Un téléphone peut-il remplacer votre portefeuille? Je suis allé faire des courses pour le découvrir.

Trouvez vos scores Windows Experience Index dans Windows 8.1

Comment utiliser la fonctionnalité Instant Tethering d'Android

Comment tirer le meilleur parti de Live Photos sur iPhone 6S, 6S Plus

Réorganiser manuellement les applications en plein écran et les espaces dans OS X Lion 10.7.2

 

Laissez Vos Commentaires