Jump to content

DNSChanger

DNSChanger захватывающий DNS троян, . [1] [2] Работа эстонской компании, известной как Rove Digital компьютера , вредоносная программа заражала компьютеры, изменяя записи DNS , чтобы они указывали на его собственные мошеннические серверы имен , которые затем внедряли свою собственную рекламу на веб-страницы. По оценкам, на пике своего развития DNSChanger заразил более четырех миллионов компьютеров, что принесло долларов США прибыли от мошеннических доходов от рекламы. оператору не менее 14 миллионов [3]

Были распространены варианты DNSChanger как для Windows , так и для Mac OS X , причем последний принял форму родственного трояна, известного как RSPlug . ФБР совершило рейд на вредоносные серверы 8 ноября 2011 года. [4] но они оставили серверы включенными после захвата, чтобы пострадавшие пользователи не потеряли доступ к Интернету до 9 июля 2012 года.

Операция

[ редактировать ]

DNSChanger распространялся в виде загружаемой программы, утверждая, что это видеокодек, необходимый для просмотра контента на веб-сайте, особенно на мошеннических порносайтах . После установки вредоносное ПО модифицировало конфигурацию системы доменных имен (DNS), указывая на мошеннические серверы имен, управляемые через филиалы Rove Digital. [3] Эти мошеннические серверы имен в основном заменяли рекламу на веб-страницах рекламой, продаваемой Rove. Кроме того, мошеннический DNS-сервер перенаправлял ссылки с определенных веб-сайтов на сайты рекламодателей, например, перенаправляя веб-сайт IRS на сайт компании, занимающейся подготовкой налогов . [5] Эффект DNSChanger также может распространиться на другие компьютеры в локальной сети , имитируя DHCP- сервер и направляя другие компьютеры на мошеннические DNS-серверы. [5] В своем обвинительном заключении против Роува Министерство юстиции США также сообщило, что мошеннические серверы заблокировали доступ к серверам обновлений антивирусного ПО . [6]

Отключение и временные DNS-серверы

[ редактировать ]

1 октября 2011 года в рамках операции «Призрачный щелчок» (совместное расследование операции) прокурор Южного округа Нью-Йорка объявил обвинения против шести граждан Эстонии и одного гражданина России, подключенных к DNSChanger и Rove Digital по проводной связи. мошенничество , компьютерное вторжение и заговор . [6] Власти Эстонии произвели аресты, а ФБР конфисковало серверы, связанные с вредоносным ПО, расположенные в США. [3]

Из-за опасений агентов ФБР, что пользователи, все еще зараженные DNSChanger, могут потерять доступ к Интернету, если мошеннические DNS-серверы будут полностью отключены, было получено временное постановление суда , позволяющее Консорциуму интернет-систем использовать запасные серверы, которые будут обслуживать DNS-запросы от этих серверов. которые еще не удалили заражение, и собирать информацию о тех, кто еще заражен, чтобы оперативно уведомлять их о наличии вредоносного ПО. [7] Хотя срок действия постановления суда истекал 8 марта 2012 г., его продлили до 9 июля 2012 г. из-за опасений, что зараженных компьютеров все еще много. [5] По оценкам F-Secure , 4 июля 2012 года, по меньшей мере 300 000 компьютеров все еще были заражены вредоносным ПО DNSChanger, 70 000 из которых находились в США. [8] Временные DNS-серверы были официально отключены ФБР 9 июля 2012 года. [9]

Влияние отключения считалось минимальным, отчасти из-за того, что крупные интернет-провайдеры предоставили собственные временные службы DNS и поддержку клиентов, пострадавших от DNSChanger. и информационные кампании, связанные с вредоносным ПО и предстоящим закрытием сети. В их число входили онлайн-инструменты, которые могли проверять наличие DNSChanger, а Google и Facebook отправляли уведомления посетителям своих соответствующих сервисов, которые все еще подвергались воздействию вредоносного ПО. [8] По оценкам F-Secure, к 9 июля 2012 года количество оставшихся заражений DNSChanger в США снизилось с 70 000 до 42 000. [9]

Ссылки

[ редактировать ]
  1. ^ Троян:Win32/Dnschanger.O – Microsoft
  2. ^ «Антивирусное сканирование на fdde13872caa1a0e1b9331188ca93b8fc424fed43d86d5cf53f6965f6a77184e] на 30 января 2017 г., 04:47:37 UTC – VirusTotal» . www.virustotal.com .
  3. ^ Jump up to: а б с «Как самая масштабная афера с ботнетом когда-либо принесла эстонским хакерам миллионы» . Арс Техника. 10 ноября 2011 года . Проверено 6 июля 2012 года .
  4. ^ «Уничтожение Esthost – крупнейшее нападение киберпреступников в истории – Блог TrendLabs по вопросам безопасности» . 9 ноября 2011 г.
  5. ^ Jump up to: а б с «Не теряйте Интернет в июле! ФБР повторяет предупреждение DNSChanger» . Мир ПК . Проверено 6 июля 2012 года .
  6. ^ Jump up to: а б «Семерым предъявлено обвинение в мошенничестве с кликами с использованием вредоносного ПО» . Арс Техника. 9 ноября 2011 года . Проверено 6 июля 2012 года .
  7. ^ Зеттер, Ким. « Вредоносное ПО «DNSChanger» может бросить на мель тысячи людей, когда в понедельник отключатся домены» . Проводной . Проверено 6 июля 2012 года .
  8. ^ Jump up to: а б «Вы заражены вредоносным ПО DNSChanger?» . Мир ПК . Проверено 6 июля 2012 года .
  9. ^ Jump up to: а б «Интернет-провайдеры сообщают о минимальном влиянии DNSChanger» . Мир ПК . Проверено 13 июля 2012 г.
[ редактировать ]
  • www.dcwg.org — Рабочая группа по изменению DNS; инструменты и информация для диагностики заражений DNSChanger
Retrieved from "https://en.wikipedia.org/w/index.php?title=DNSChanger&oldid=1205507426"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6408ad803d786d934ecd1b0e587c7010__1707500220
URL1:https://arc.ask3.ru/arc/aa/64/10/6408ad803d786d934ecd1b0e587c7010.html
Заголовок, (Title) документа по адресу, URL1:
DNSChanger - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)