FBI vs. DNSChanger. Setki tysięcy komputerów zarażonych trojanem

Zainfekowane pozostają setki tysięcy komputerówsxc.hu

Choć o problemie stworzonym przez złośliwe oprogramowanie wiedziano od dawna, a FBI zorganizowała nawet specjalną stronę internetową, umożliwiającą internautom sprawdzenie ich komputerów, już w poniedziałek setki tysięcy ludzi mogą utracić dostęp do sieci. To wina trojana pod nazwą DNSChanger.

Eksperci oceniają, że mimo licznych alertów ogłaszanych m.in. na portalach społecznościowych i przez dostawców usług internetowych, na całym świecie zarażonych jest jeszcze 277 tysięcy komputerów.

DNSChanger

W listopadzie 2011 roku, po pięciu latach śledztwa amerykańska FBI przeprowadziła operację przeciwko przestępczej grupie, która przejęła kontrolę nad milionami komputerów na całym świecie i wykorzystywała je do najrozmaitszych oszustw, zarabiając na tym miliony.

Przestępcy zainfekowali komputery trojanem DNSChanger, manipulującym ustawieniami DNS (Domain Name System), czyli systemu wykorzystywanego do przekładania przyjaznych dla użytkownika adresów internetowych na adresy numeryczne, zrozumiałe dla komputerów.

Umożliwiało im to manipulację wynikami wyszukiwarek internetowych, kierowanie internautów na podrobione strony, do złudzenia przypominające portale znanych firm oferujące internetowe zakupy, instalowanie kolejnego złośliwego oprogramowania itp.

Według FBI, tylko w Stanach Zjednoczonych przestępcy kontrolowali pół miliona komputerów. Zainfekowane zostały zarówno komputery prywatne, jak i firmowe oraz w urzędach, nawet w amerykańskiej agencji kosmicznej NASA.

DNSChanger jest tym groźniejszy, że uniemożliwia w zainfekowanych komputerach instalowanie niezbędnych aktualizacji oraz utrudnia funkcjonowanie programów antywirusowych. Takie komputery są więc podatne na najrozmaitsze ataki także innych komputerowych przestępców.

Serwerowa akcja FBI

Po zebraniu wystarczającego materiału dowodowego zatrzymano podejrzanych, ale musiano zrezygnować z natychmiastowego wyłączenia ich serwerów, ponieważ oznaczałoby to, że zainfekowane komputery stracą łączność z internetem.

FBI zdecydowała się na niecodzienne rozwiązanie: zaangażowano prywatną firmę, która zainstalowała dwa "czyste" serwery, umożliwiające zainfekowanym komputerom normalne korzystanie z internetu. Ten doraźny system przestaje jednak funkcjonować 9 lipca o godz. 6.01 czasu polskiego.

Tym, którzy podejrzewają, że ich komputery mogą być zainfekowane, FBI radzi skorzystać z pomocy specjalistów. Udostępniono w internecie stronę, na której każdy może szybko sprawdzić ustawienia DNS w swoim komputerze (https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS). Pomocą służy też portal http://www.dcwg.org.

Autor: //gak / Źródło: PAP

Źródło zdjęcia głównego: sxc.hu