DNSChanger Malware / Rogue DNS - «Internet Doomsday» 9 juillet

10

À la fin de 2011, le FBI a démantelé un vaste réseau sophistiqué de fraude sur Internet derrière le DNSChangervirus / programme malveillant. Une partie de ce malware impliquait de diriger les requêtes DNS de la victime vers des serveurs escrocs contrôlés par les auteurs du malware.

Après avoir arrêté les auteurs, le FBI et l'ISC ont mis en place des serveurs DNS «propres» pour remplacer les serveurs escrocs utilisés par les auteurs de logiciels malveillants. Ces serveurs devraient cesser de fonctionner le 9 juillet 2012.

Il y a beaucoup d'articles, principalement celui-ci qui a attiré mon attention. Honnêtement, je n'ai jamais rien entendu à ce sujet jusqu'à ce matin lorsque mon patron m'a demandé de «préparer» quelque chose pour nos collègues afin de les garder en place.

Tout d'abord, quelqu'un d' autre a entendu parler de ce et devrais - je être inquiet? Le DNS dans mon environnement de travail n'est pas dans la gamme des DNS escrocs affectés, mais cela ne veut pas dire que le mien à la maison ou l'un de mes collègues pourrait l'être.

Deuxièmement, comment dois-je procéder pour «me préparer» pour m'assurer que tout est sûr et fonctionne comme il devrait l'être le 9 juillet?

C-dizzle
la source
Un peu tard pour commencer à s'inquiéter pour celui-ci maintenant ... c'est un peu comme commencer vos efforts pour l'an 2000 à Noël 1999.
womble
C'est vrai, mais ce n'était pas moi qui m'en inquiétais lol, c'était mon patron.
C-dizzle
Pourquoi n'était-ce pas sur votre radar il y a des mois? Cela ne dure que 7 mois, avec beaucoup de discussions dans les endroits où les administrateurs système professionnels discutent de telles choses. Le NANOG en a discuté presque sans arrêt.
womble
@womble pourquoi le FBI n'a-t-il pas simplement demandé à ses serveurs DNS de rapporter de "faux" enregistrements pour tous les sites dirigeant les utilisateurs infectés vers une page contenant des informations sur le logiciel malveillant, avec des instructions pour le rétablir? Normalement, je méprise quand les fournisseurs DNS font des choses comme ça, mais il semble que ce serait une exception acceptable.
Tom Marthenal
@TomMarthenal: Certaines parties d'Internet ne sont pas du trafic HTTP.
womble

Réponses:

13

Ce ne sont pas vos serveurs DNS qui devraient vous inquiéter. Ce sont les machines clientes qui ont été infectées par ce malware.

Fondamentalement, ce qui s'est passé, c'est que lorsque le FBI a arrêté les auteurs du virus, ils ont pris le contrôle des serveurs DNS qu'ils exécutaient. Maintenant, ils ne peuvent pas les exécuter indéfiniment avec l'argent du contribuable et ils ont un temps limité en raison de l'ordonnance du tribunal qui a été rendue.

De votre côté, vous devez vous assurer que vos machines clientes ne sont pas infectées par un virus.

Il y a beaucoup de bonnes informations sur le site Web du FBI Operation Ghost Click

Zypher
la source
6

En plus de ce que Zypher a mentionné, vous pouvez également consulter le blog de l'ISC à ce sujet et le site Web du DNS Changer Working Group qui est spécifiquement consacré à ce gâchis.

En particulier, le site ISC mentionne ce qui suit: comment détecter si vos systèmes sont affectés:

Votre DNS est-il OK?
Une demi-douzaine d'équipes nationales de sécurité Internet à travers le monde ont créé des sites Web spéciaux qui afficheront un message d'avertissement aux victimes potentielles de l'infection DNS Changer.
Par exemple, si vous visitez http://dns-ok.de/, vous obtiendrez une page en allemand indiquant soit que vous semblez être infecté, soit que vous semblez ne pas être infecté. Andrew Fried et moi avons créé http://dns-ok.us/ dans le même but, bien que notre page soit bien sûr en anglais américain.
La liste complète de ces sites Web «Vérification DNS» est publiée sur le site Web du DCWGainsi que de nombreuses informations sur la menace, les arrestations, le retrait, les ordonnances judiciaires et les informations de nettoyage pour les victimes. Maintenant que nous avons tous ces sites Web qui peuvent dire à quelqu'un s'ils sont une victime et qui disent aux victimes ce qu'il faut faire pour nettoyer leurs ordinateurs et leurs routeurs à domicile, le problème semble inciter les gens à se soucier.

voretaq7
la source