(注:此文使用了机器翻译+简单人工后处理)
名为“DNSCanger”的恶意程序一直是新闻热点是有其原因的。如果在 7 月 9 日之前不采取行动,很多人将会失去网络连接。关于这种威胁是什么,它怎样工作,以及该威胁对他们(及其他用户)意味着什么,我们的一位客户最近向 Symantec Security Response 提了大量的问题。以下是我们的对那些问题的回应。
诺顿用户: 目前此 DNSChanger 是什么,有什么新动向呢?
赛门铁克安全响应: 它是一种可以更改被攻击的计算机的域名系统(DNS) 设置的恶意软件。
NU: 这些 DNS 设置是什么,以及它们如何影响我?
SSR:DNS 是互联网服务,将用户易用的域名转换为数字互联网协议 (IP) 地址,计算机使用这些地址彼此通信。当你在 Web 浏览器地址栏中输入一个域名,您的计算机联系 DNS 服务器以确定该网站的 IP 地址。然后,您的计算机使用此 IP 地址查找并连接到该网站。DNS 服务器由您的互联网服务提供商 (ISP)运作,并包含在您的计算机的网络配置。
图 1。 DNS 的工作原理
NU: 知道了。那么DNSChanger 做什么呢?
SSR:通过更改计算机的 DNS 设置,恶意软件作者可以控制一台计算机连接到哪些网站,可以强制受攻击的计算机连接到某个欺诈网站或将计算机从预定的网站重定向。要做到这一点,恶意软件作者需要向计算机中传播恶意代码,在此,DNSChanger。一旦计算机被传染,恶意软件修改 DNS设置,将其从ISP 的合法的 DNS 服务器地址修改为流氓 DNS 服务器设置。
图 2。 DNSChanger 如何工作
NU: 赛门铁克能保护我和其他赛门铁克客户免受这种威胁吗?
SSR: 是,赛门铁克检测这种威胁为Trojan.Flush.K,其原名为 Trojan.Dnschanger。此外,此检测自 2007 年 1 月以来已就绪。
NU: 这可能是一个愚蠢的问题,但为什么它想要把我重定向到流氓服务器?
SSR: 其实这是一个很好的问题,答案既简单又常见: 钱。凯文 · 哈雷写了一个很好的博客关于恶意软件者的动机以及如何他们犯下这种罪行 你可以参考链接。
NU: 有趣。但我奇怪为什么这既是恶意软件又是犯罪。事实上,凯文海利说那些恶意软件者被联邦调查局,在去年年底!
SSR: 是的这是正确的。实际上联邦调查局有一篇文章Operation Ghost Click,是关于抓犯这种罪犯集团的调查。它绝对是值得一读。
NU: 那么为什么现在都在大惊小怪?
SSR: 很高兴你问。美国联邦调查局,通过法院命令,要求互联网系统财团 (ISC) 部署并维护正确的 DNS 服务器,并取缔那些流氓服务器,以便受感染的用户有足够的时间来删除威胁。然而,这是只是一个临时的解决方案,2012 年 7 月 9 日以后,根据法院命令由 ISC 的服务器将会脱机。一旦发生这种情况,仍然受感染的计算机将无法访问互联网,导致被"封闭"。
NU: 你的意思肯定是计算机受到这种威胁后,只会失去对某一些站点访问?
SSR: 不是,所有的网站。连接将会丢失互联网。如果您的计算机仍在使用 7 月 9 日指向美国联邦调查局的服务器的 DNS 服务器,您将完全失去访问互联网。不能从家里连接到办公室,不能更新 Facebook,直到DNS 设置问题被解决。
NU: 肯定这只是孤立式的威胁,现在大多数人没有风险,不会失去他们的互联网连接?
SSR: 恰恰相反。最新统计数字显示有至少 300,000 的计算机仍被重定向到现在由联邦调查局控制的流氓 DNS 服务器。
NU: 怎么发现是否我的计算机受到 DNSChanger控制?
SSR: 成立了专责小组,称为DNSChanger 工作组(DCWG),帮助大家确定是否他们的计算机已感染此风险,同事帮助他们消除威胁。用户可以去 DNS检查页,由 DCWG维护,以确定他们的计算机是否受到损害。DCWG 的检测页面上也列出了由其他组织所维护的各种语言的页面。各组织都会积极通知用户一旦他们的计算机都受到 DNSChanger。联邦调查局还汇集了有关如何手动确定的说明以确定计算机是否已遭到破坏。
除了检测恶意组件,计算机已遭到DNSChanger破坏的的赛门铁克和诺顿客户,我们的断点产品会通知通知他们,通过SecurityRisk.FlushDNS的检测。我们的手册中包含更多的信息,包括手动删除的说明。如果用户不确定如何改变自己的 DNS 设置,他们应该联系他们的 ISP 或网络管理员联系。
NU: 为什么赛门铁克产品不能自动为我们用户修复 DNS 设置呢?
SSR: 赛门铁克产品不能还原被破坏的计算机上的 DNS 设置,是因为我们不知道原来的设置是什么。如果 DNS 设置不能被正确还原,计算机可能无法访问互联网。
NU: 还有什么事我需要知道吗?
SSR: 我们拥有我们自己的 DNS 服务器,该服务器可以阻止不安全网站。该服务器叫做诺顿 ConnectSafe产品。它是很酷,并完全免费。