Trojan dns changer что это

Обновлено: 05.07.2024


DNS

Когда вы вводите доменное имя в адресную строку браузера, ваш компьютер связывается с DNS-серверами. Затем он узнает IP-адрес для этого сайта. После этого ваш компьютер использует этот IP-адрес для подключения к веб-сайту.


DNSChanger

Несмотря на то, что все вредоносные DNS-серверы были заменены на правильные операционные системы во время удаления, это может быть хорошее время, как и любой другой, посмотреть, действительно ли ваш компьютер был скомпрометирован.

Ботнет изменил настройки DNS пользователей компьютеров и указал на вредоносные сайты. Вредоносные DNS-серверы будут выдавать ложные, злонамеренные ответы, изменяя пользовательский поиск и продвигая поддельные и опасные продукты. Поскольку каждый веб-поиск начинается с DNS, вредоносная программа показала пользователям измененную версию Интернета. По данным ФБР, эта афера принесла хакерам более 14 миллионов долларов.

Как узнать, заражен ли ваш компьютер DNSChanger?

Если вы хотите узнать, не были ли нарушены ваши настройки DNS, вы можете сделать это следующим образом:

Откройте CMD, в окне приглашения введите ipconfig/all и нажмите Enter.



Если ваш компьютер настроен на использование одного или нескольких мошеннических DNS-серверов, он может быть заражен вредоносным ПО DNSChanger. Тогда может быть хорошей идеей сделать резервную копию ваших файлов и запустить полную проверку на компьютере Windows с антивирусным программным обеспечением.

Утилита для удаления DNSChanger

Вы можете использовать утилиту для удаления DNSChanger, чтобы решить эту проблему. Если вам нужна дополнительная помощь, вы всегда можете посетить наши форумы по безопасности Windows.

Кстати, если ваш компьютер все еще заражен мошенническим DNS, вы не сможете выходить в Интернет после 9 июля 2012 года. Это связано с тем, что эти заменяющие DNS-серверы будут закрыты в этот день.

Но что, если поддельная страница содержится по настоящему адресу? Оказывается, такой неприятный вариант тоже возможен, и для этого злодеям даже не надо взламывать сервер, на котором хранится заветная страница. Вот как это работает.

Перехват и подмена DNS-запросов

Так должен работать нормальный DNS-сервер

А так работает атака с подменой DNS

Дело за малым: остается каким-то образом обмануть пользователя, чтобы он вместо настоящего DNS-сервера использовал вредоносный, перенаправляющий на поддельный сайт. Вот как данную задачу решили создатели трояна Switcher.

Как действует троян Switcher

Они создали пару программ для Android, одна из которых имитирует приложение поисковой системы Baidu (это такой китайский Google), а вторая — также достаточно популярную в Китае утилиту для поиска паролей к Wi-Fi-сетям, которыми обмениваются пользователи.

После того как приложение попадает на смартфон, подключенный к Wi-Fi, оно связывается с командным сервером злоумышленников и сообщает, что троян активирован в Wi-Fi-сети с таким-то идентификатором.

Затем Switcher приступает к взлому Wi-Fi-роутера: он по очереди проверяет различные пароли администратора для входа в веб-интерфейс настройки маршрутизатора. Если судить по тому, как устроена эта часть трояна, на данный момент он умеет работать только с роутерами TP-Link.

После того как трояну удается угадать пароль, он заходит на страницу сетевых настроек роутера и прописывает в них адрес одного из вредоносных DNS-серверов в качестве используемого по умолчанию. А в качестве запасного DNS-сервера троян указывает настоящий DNS-сервер Google 8.8.8.8 — чтобы пользователь не заметил сбоев в случае отказа DNS-сервера злоумышленников.

Необычный троянец для Android не делает со смартфоном ничего ужасного — вместо этого он захватывает Wi-Fi-сеть, к которой подключен зараженный аппарат

Поскольку в большинстве беспроводных сетей все устройства получают сетевые настройки, и в том числе адреса DNS-серверов, от роутера, то все пользователи, подключившиеся к уже захваченной злоумышленниками Wi-Fi-сети, автоматически будут использовать вредоносный DNS.

Статистика захваченных Switcher сетей

Об успехе операции троян сообщает на командный сервер. На нем нашим экспертам помимо всего прочего удалось обнаружить статистику успешных атак, которую злоумышленники по неосторожности оставили в открытой части сайта.

Если верить этой статистике, за неполные четыре месяца работы им удалось захватить уже 1280 беспроводных сетей, и трафик всех пользователей этих сетей может быть перенаправлен по команде злоумышленников.

Как защититься

1. Чтобы защитить свою беспроводную сеть от подобных атак, следует правильно настроить роутер. В первую очередь — на странице настроек сменить пароль по умолчанию на сложный и надежный.

2. Не стоит устанавливать подозрительные приложения на свои Android-устройства. К сожалению, даже в официальных магазинах нередко встречаются трояны.

По данным ФБР, в Германии ежедневно троян DNS Changer поражает более 30 тысяч компьютеров. Власти ФРГ призывают жителей страны проверить свои компьютеры на наличие этой вредоносной программы.

Мужчина перед монитором компьютера

Не избавишься от трояна - останешься без интернета

Компьютерная клавиатура

Компьютерное сообщество знало о коварной вредоносной программе давно. В ноябре 2011 года русско-эстонская группа хакеров, распространявшая вирус, была разоблачена американским Федеральным бюро расследований (ФБР). Однако к тому времени распространенность трояна уже приняла характер эпидемии. По данным ФБР, каждый день троян DNS Changer поражает в одной Германии более 30 тысяч компьютеров. Поэтому Федеральное ведомство по безопасности в сфере информационной техники всячески рекламирует бесплатный веб-сервис, который поможет установить, поражен ли ваш компьютер, и устранить вредоносную программу.

ФБР преследовало преступников два года. В 2011 году в Эстонии и Соединенных Штатах прошли аресты. В ноябре сотрудники американской спецслужбы с гордостью сообщили о завершении "крупнейшей в истории операции против киберпреступников". Тем из них, кто предстанет перед судом в США, грозят тюремные сроки до 30 лет. Но серверы злоумышленников продолжают работать. Дело в том, что их немедленное отключение отрезало бы всех владельцев зараженных компьютеров от сети, а провайдеры захлебнулись бы в потоке возмущенных звонков. Но 8 марта 2012 года срок, определенный для избавления компьютеров от DNS Changer, истекает. И у тех, кто не успел излечить свой компьютер, возникнут проблемы с доступом в интернет.

DNS Changer меняет IP-адреса и уводит на чужой сервер

Компьютерные платы изнутри

Сколько еще вирусов несется по цифровому автобану?

DNS Changer- небольшая по объему программа, подменяющая адреса настоящих DNS-серверов фальшивыми. В результате, набрав адрес iTunes Store, пользователь попадает на пиратскую страничку, которая предлагает купить компьютерные программы. Вместо сайта немецкого провайдера Telekom- на фальшивую страничку на сервере в Румынии. Вместо официального баннера с рекламой всемирно известной фирмы кредитных карт появляется реклама порносайта.

Только на продаже услуг по повышению числа посещений сайта и на фальшивой рекламе преступники, по данным ФБР США, заработали более 14 миллионов долларов. Есть подозрение, что DNS Changer использовался и для кражи паролей пользователей в социальных сетях, в частности, на портале "В контакте".

Автор: Александр Варкентин
Редактор: Андрей Бреннер

Архив

Белорусская оппозиция обнаружила кибератаки спецслужб

Контекст

Германия готовится к отражению кибератак

Банкомат не выдает денег, в городах отключилось электроснабжение, в аэропорту не работает диспетчерская служба - Германия подверглась массированной атаке хакеров… Пока это только учебный сценарий. (01.12.2011)

Кибератаки могут стать главной угрозой мировой безопасности

4 февраля открылась Мюнхенская конференция по безопасности. Если не считать обсуждения ситуации в Египте и других арабских странах, главной темой форума станет развитие сотрудничества в сфере отражения кибератак. (04.02.2011)

Ссылки в интернете

Принять участие в дискуссии на странице Deutsche Welle Russian в facebook

Аудио- и видеофайлы по теме

Инфраструктура Германии уязвима для террора

Также по теме

A sign is seen at Colonial Pipeline Baltimore Delivery in Baltimore, Maryland on May 10, 2021. - The US government declared a regional emergency Son May 9, 2021 as the largest fuel pipeline system in the United States remained largely shut down, two days after a major ransomware attack was detected. The Colonial Pipeline Company ships gasoline and jet fuel from the Gulf Coast of Texas to the populous East Coast through 5,500 miles (8,850 kilometers) of pipeline, serving 50 million consumers. The company said it was the victim of a cybersecurity attack involving ransomware -- attacks that encrypt computer systems and seek to extract payments from operators. (Photo by JIM WATSON / AFP) (Photo by JIM WATSON/AFP via Getty Images)

Атаковавшие трубопровод в США хакеры заявили, что хотят лишь денег 11.05.2021

Пресс-секретарь президента РФ Дмитрий Песков отверг возможную причастность России к кибератаке. Спецслужбы США проверяют, связана ли группировка хакеров DarkSide с властями РФ.

Cyberattacks research. Undated file photo of a laptop screen showing a computer virus warning. Chief executives should be held personally responsible for cyberattacks, with many users believing they should also be compensated for such breaches, new research suggests. Issue date: Monday June 8, 2020. A survey by data protection firm Veritas Technologies found that more than a third (35%) of UK consumers would see a business leader as personally responsible if a cyber breach of that business occurs. See PA story TECHNOLOGY Ransomware. Photo credit should read: Peter Byrne/PA Wire URN:54058693 |

Ущерб от хакерских атак в мире превысил триллион долларов 07.12.2020

Общая сумма финансовых потерь от киберпреступности в 2020 году составила один процент мирового ВВП, подсчитали специалисты компании McAfee и Центра стратегических и международных исследований.

MINSK, BELARUS - SEPTEMBER 6, 2020: A law enforcement officer waves a Belarusian flag outside the Palace of the Republic in Independence Square before the start of the March of Unity held by opposition supporters. Since the announcement of the 2020 Belarusian presidential election results on August 9, mass protests against the election results have been erupting in major cities across Belarus. Natalia Fedosenko/TASS

"Киберпартизаны" взломали базу данных МВД. Что они рассказали DW 27.08.2021

"Киберпартизаны" заявили о взломе базы данных МВД Беларуси и не только. Кто эти люди, к какой информации они получили доступ? DW поговорила с представителем команды.


Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.

Что такое подмена DNS и отравление кэша?


Примеры и последствия отравления кэша DNS

Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.

Как работает отравление кэша DNS?


Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.

Перехват трафика локальной сети с помощью подмены протокола ARP

Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.

Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.

Эксплойт Каминского

Как обнаружить отравление кэша DNS?

Способы защиты от отравления кэша DNS


И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.

Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).

Отравление кэша: часто задаваемые вопросы

Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.

Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?

Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.

Как работает отравление кэша DNS?

Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.

Какие меры безопасности можно применять для защиты от отравления кэша DNS?

Как проверить, подверглись ли вы атаке с отравлением кэша?

После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.

Как работает связь DNS?

Как злоумышленники отравляют кэш DNS?

Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.

Что такое отравление кэша DNS?

Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.

Как выполняется подмена DNS?

Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.

Читайте также: