روش شناسایی و پاكسازی بدافزار DNSChanger

sey

عضو جدید
نابر اطلاعات واصله، احتمال ایجاد وقفه در دسترسی به اینترنت سیستم‌هایی كه به بدافزار DNSChanger آلوده شده اند، در تاریخ 19 تیرماه سال جاری ( 9 جولای ) وجود خواهد داشت. برای شناسایی و پاكسازی این بدافزار می توانید روش هایی كه در ادامه ذكر شده است را اعمال نمایید. شماره: IRCNE2012071544
تاریخ: 18/04/91

خلاصه آسیب پذیری :
بنابر اطلاعات واصله، احتمال ایجاد وقفه در دسترسی به اینترنت برخی از سیستم‌ها در تاریخ 19 تیرماه سال جاری ( 9 جولای ) وجود خواهد داشت. در تاریخ 9 جولای با از كارافتادن تمامی سرورهای جعلی این بدافزار پیش‌بینی میشود، دسترسی به اینترنت حدود 64000 كاربر آمریكایی و همچنین 200000 كابر غیر آمریكایی، كه سیستم هایشان هنوز آلوده هستند، به علت عدم توانایی دسترسی به DNS سرورهای حقیقی، قطع شود. این بدافزار در سیستم عامل های ویندوز و مكینتاش فعال می باشد.
تشریح آسیب‌پذیری :
DNSChanger یك تروجان است كه در شكل‌های مختلف مانند دام های تبلیغاتی به آلوده سازی سیستم قربانی پرداخته و پس از نصب بر روی سیستم، به صورت پیوسته تنظیمات DNS سیستم آلوده را به سمت سرورهای تقلبی تغییرداده و جستجوها و URL های درخواست شده را به سمت وب سایت‌های مخرب به منظور سرقت اطلاعات شخصی و ایجاد درآمد و آگهی‌های نامشروع برای كلاهبرداران سوق می‌دهد. نسخه‌های مختلفی از این بدافزار جهت سیستم عامل‌های ویندوز وMac در سال 2008 یافت شد كه به نام‌هایOSX.RSPlug.A, OSX/Puper و OSX/Jahlav-C ، Aluren، TDSS، TDL4 و یاTidServ شناخته می‌شود.
تغییر DNS سیستم و عدم دسترسی به اینترنت و یا نمایش مكرر پیام The address is not valid از نشانه های آلودگی سیستم می باشد.
روش انتشار بدافزار :
از طریق پست های الكترونیك اسپم و لینك های جعلی تبلیغاتی
روش شناسایی آلودگی به بدافزار:
تنظیمات DNS سیستم را با فهرست آدرس های اشاره شده مقایسه نموده و درصورت تغییر آدرس DNS‌ سیستم به آدرسهای زیر سیستم آلوده می باشد.
Starting IP
Ending IP
CIDR
85.255.112.0
85.255.127.255
85.255.112.0/20
67.210.0.0
67.210.15.255
67.210.0.0/20
93.188.160.0
93.188.167.255
93.188.160.0/21
77.67.83.0
77.67.83.255
77.67.83.0/24
213.109.64.0
213.109.79.255
213.109.64.0/20
64.28.176.0
64.28.191.255
64.28.176.0/20

· بررسی آلودگی سیستم در سیستم عامل ویندوز XP :
1. برنامه Run از طریق منوی Start سیستم اجرا شود
2. در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt‌ سیستم )
3. در برنامه اجرا شده، دستور ipconfig /all تایپ و در خروجی نمایش داده شده آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
· بررسی آلودگی سیستم در سیستم عامل ویندوز 7 :
1. برنامه Run از طریق منوی Start ، قسمت جستجوی سیستم اجرا شود
2. در قسمت نام برنامه مورد نظر برای اجرا، CMD تایپ گردد ( اجرای برنامه command prompt‌ سیستم )
3. در برنامه اجرا شده، دستور ipconfig /allcompartments /all تایپ گردد.
4. در خروجی نمایش داده شده، قسمت مربوط به IPv4 و Ethernet adapter، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
· بررسی آلودگی سیستم در سیستم عامل مكینتاش :
1. بر روی آیكن Apple در سمت چپ صفحه نمایش كلیك شده و System Preferences انتخاب گردد.
2. در قسمت جستجوی برنامه، networkتایپ گردد.
3. در خروجی نمایش داده شده، آدرس IP مقابل DNS Server با فهرست فوق مطابقت داده شود.
نحوه‌ی برخورد با آسیب‌پذیری :
1. تهیه نسخه پشتیبان از اطلاعات حساس سیستم
2. اسكن سیستم توسط آنتی ویروس به روز و پاكسازی بدافزار
3. بازگرداندن تنظیمات DNS سیستم به وضعیت مورد اطمینان و یا حالت خودكار
Local Area connection Properties -> TCP/IP Properties -> DNS server Addresses / Automatically
4. بررسی مجدد تنظیمات DNS پس از پاكسازی بدافزار به منظور اطمینان از صحت تنظیمات
5. پاكسازی رمزهای عبور ذخیره شده در مرورگر سیستم
Firefox : Tools -> Options -> Privacy -> Clear all current history -> Time range to clear ( everything ) -> Clear Now
Internet explorer : Tools -> Internet Options -> General -> Browsing history -> Delete all
6. تغییر رمز عبور سیستم و رمز عبور مربوط به حساب های اینترنتی اعتباری و بانكی

سیستم تشخیص بدافزار بصورت خودكار تهیه شده توسط مركز ماهر و آپای دانشگاه صنعتی شریف از طریق لینك قابل دسترسی می باشد.
http://dns-ok.cert.sharif.edu
 
بالا