ماجراهای بدافزاری به نام DNSChanger

چند روز پيش Rob Pegoraro طی يک خبر تحليلی در سايت ديسکاوری به واکاوی ماجرای جالبی پرداخت؛ مدتی پيش يکی از آن ايميل‌های آزاردهنده و خوشه‌ای باز باعث بروز شايعاتی در ميان مردم شد و موجبات نگرانی‌ عده‌ای را فراهم آورد.

مضمون ايميل در کل چنين بود: «اداره بازرسی فدرال ايالات‌ متحده، FBI، در روز نهم جولای کامپيوترهای ويروسی را آفلاين خواهد کرد. برای اينکه بدانيد کامپيوترتان ويروسی است يا نه، هرچه سريع‌تر به فلان سايت مراجعه کنيد. اين ايميل را برای هر کسی که می‌شناسيد بفرستيد.»

ولی اين‌بار ادعای ايميل مذکور بی‌راه نبود چون در واقع اداره بازرسی فدرال پيغامی هشداردهنده را درباره تهديدهای بالقوه بدافزار DNSChanger روی سايت خود قرار داده‌بود که اگر حمله‌اش به کامپيوتر کاربر با موفقيت انجام می‌شد، به‌راستی در روز نهم جولای اتصال آن‌را با اينترنت قطع می‌کرد.

داستان از نوامبر سال گذشته ميلادی شروع شد؛ همان زمانی که اداره بازرسی از کشف يک فعاليت تبه‌کارانه به قدمت چهار سال در کشور استونی خبر داد. مظنونان طی فعاليت‌های مجرمانه‌شان حدود چهار ميليون کامپيوتر را که پانصد هزار دستگاه‌اش در ايالات‌متحده قرار داشت با بدافزاری به نام DNSChanger (به آن Alureon هم می‌گفتند) آلوده کرده‌بودند. در اثر اين حمله، کامپيوتر قربانی به ماشينی در خدمت کلاهبرداری‌های سايبری اين مهاجمان تبديل می‌شد.

بدافزار DNSChanger يک روت‌کيت بود که سعی می‌کرد کاربران ويندوز يا مک را نسبت به دانلودش مجاب کند و پس از دانلود، بی‌سر و صدا تنظيمات سيستم نام دامنه يا همان DNS را روی کامپيوتر قربانی و حتی روی بعضی از مسيرياب‌ها دستکاری می‌کرد. اين يکی از جدی‌ترين نفوذهایی‌ بود که می‌توانست يک کامپيوتر متصل به اينترنت را گرفتار کند. چون وقتی DNS از ترجمه درست نام‌های دامنه به آدرس‌های IP قابل فهم برای کامپيوتر (برای مثال تبديل discovery.com به 63.240.215.85) بازمی‌ماند ديگر نمی‌دانيد با چه سايتی روبرو هستيد و در پشت صحنه يا پيش رويتان چه می‌گذرد. طی اين حمله همين‌که کامپيوتر آلوده به سرورهای DNSChanger متصل شود، ارتباطش با اينترنت قطع می‌شود. اف‌بی‌ای برای اينکه فرصتی ايجاد کند تا کاربران سيستم‌هايشان را پاک کنند از دادگاه مجوزی دريافت کرد که طبق آن کنسرسيوم سيستم‌های اينترنتی (Internet Systems Consortium) ملزم می‌شد سرورهای مخرب را تصاحب کرده و آن‌ها را پاک‌سازی کند. در همين راستا کنسرسيوم ياددشده که به اختصار ISC هم خوانده می‌شود، تصميم گرفت در روز نهم جولای همه سرورهای DNSChanger را خاموش کند. در اين‌صورت کامپيوترهای آلوده به اين بدافزار آدرس‌های IP عددی (و نه ترجمه آن‌ها به عبارت‌های حرفی قابل فهم) را خواهند ديد.

پس لازم است برای اينکه کامپيوترتان جزو کامپيوترهای آلوده حساب نشود و دسترسی‌اش به اينترنت قطع نشود لازم است همين حالا آلودگی يا عدم آلودگی سيستم‌تان را بررسی کنيد تا بعدها متحمل زحمت نشويد.

در ابتدا راهکارهایی که برای بررسی کامپيوتر و اطلاع از آلودگی يا عدم آلودگی آن ارائه شد نيازمند مهارت‌های فنی بود ولی اکنون کار بسيار ساده‌تر شده است: به آدرس www.dns-ok.us مراجعه کنيد؛ اگر رنگ پسزمينه تصوير گرافيکی به نمايش درآمده در صفحه سبز بود (به تصوير توجه فرماييد) و زيرش نوشته شده بود DNS" "Resolution = GREEN ، به اين معنی است که کامپيوترتان پاک است. ولی اگر رنگ پس‌زمينه تصوير قرمز بود معنيش اين است که کامپيوتر آلوده است. برای رفع آلودگی تا روز نهم جولای حدود دو ماه زمان داريد. از برنامه ضدويروس‌تان برای اسکن و پاک کردن اين بدافزار استفاده کنيد و يا از ابزارهای زداينده‌ای که توسط شرکت‌های معتبر توليد شده بهره ببريد. برای مثال می‌توانيد از برنامه‌های زير استفاده کنيد:

- برنامه SecureMac

-برنامه ضدبدافزار همه‌منظوره Anti-Malware از شرکت MalwareBytes

- برنامه TDSSKiller از شرکت کسپرسکی

کارگروه DNS Changer Working Group نيز که توسط متخصصان امنيت اينترنت و برای کمک به حل اين مشکل پايه‌گذاری شده صفحه‌ای را در آدرس http://www.dcwg.org/fix ايجاد کرده‌است که راهنمایی‌های‌ مورد نياز درباره چگونگی پاک کردن DNSChanger را ارائه داده‌است. البته اگر زمان گذشت و نتوانستيد هيچکدام از راهکارهای ارائه‌شده را به‌کار ببنديد، باز هم جای نگرانی نيست و بدترين حالت اين است که سيستم‌عامل کامپيوترتان را يا از روی ديسک يا با استفاده از گزينه recovery از نو نصب کنيد ولی در کل مرور وب با IPهای عددی در نوار آدرس آزاردهنده‌است. پس ما هم مثل فرستندگان ايميل ياددشده در آغاز اين خبر توصيه می‌کنيم: اگر اعضای خانواده ويا دوستان‌تان از اين موضوع مطلع نيستند اين مطلب را برايشان بفرستيد!

"مجله شبکه"