A DNSChanger trójai már évek óta fertőzi a számítógépeket, és áll a kiberbűnözés szolgálatában. Ugyan a kártékony program az elmúlt évek hatósági fellépéseinek köszönhetően jelentősen vesztett az erejéből, a másodlagos, káros hatásai vélhetőleg egy hónapon belül fognak jelentkezni. Ennek oka, hogy a DNSChangerrel továbbra is fertőzött számítógépek egyik napról a másikra elveszthetik a beállított DNS-szerverekkel való kapcsolatukat, és a „szokásos módon” nem lesznek képesek weboldalakhoz, levelezőszerverekhez, stb. kapcsolódni. Ezért megelőző intézkedésekre van szükség.

Régi motoros

Biztonsági kutatók már 2006-ban felfigyeltek a DNSChanger trójai azon tevékenységére, melynek során fertőzött számítógépekből álló botneteket kezdett felépíteni. A károkozó az elmúlt évek során egyre intenzívebben terjedt, oly annyira, hogy "fénykorában" több mint négymillió rendszerre került fel. Az FBI és egyéb amerikai hatóságok két éven keresztül vizsgálták a trójai mögött meghúzódó csoportot, mígnem tavaly letartóztattak tíz észt férfit, akiket azzal gyanúsítottak, hogy részt vettek a DNSChanger terjesztésében. Novemberben pedig különböző amerikai szolgáltatók adattközpontjaiban több mint 100 olyan szervert foglaltak le, amelyek hozzájárultak a trójai által felépített botnetek vezérléséhez.

A DNSChanger alapvető feladata, hogy a fertőzött számítógépeken manipulálja a hálózati beállításokat, és megváltoztassa azokon a DNS-szerverekhez tartozó címeket. Ezzel eléri, hogy a felhasználók az internet böngészése során olyan weboldalakkal találkozzanak, amelyeket a trójai terjesztői éppen előnyben részesítenek. E funkció egyrészt további kártékony programok terjesztését szolgálhatja ártalmas weboldalakra való átirányítások révén, de akár különféle weblapok reklámozásában is segítséget nyújthat a csalók számára. A DNSChanger további veszélyes jellemzője, hogy képes megakadályozni azt, hogy a megfertőzött számítógépek letöltsék a Microsoft által kiadott hibajavításokat, vagy beszerezzék a védelmi alkalmazásokhoz, például a víruskeresőkhöz tartozó frissítéseket. Emiatt az idő előrehaladtával egyre inkább kiszolgáltatottá teszik a rendszereket.

Mi okozza az aggodalmat?

A legfrissebb felmérések szerint a DNSChanger még mindig rengeteg számítógépen található meg. Az internetbiztonsággal foglalkozó IID (Internet Identity) a hálózatmonitorozó tevékenysége során gyűjtött információk alapján úgy látja, hogy a Fortune 500 vállalatok legalább felének infrastruktúrájában található legalább egy olyan számítógép, amely fertőzött a DNSChanger trójaival. A szakértők azt feltételezik, hogy ha ezen, komoly védelmi arzenállal rendelkező vállalatoknál is viszonylag széles körben terjedt el a trójai, akkor az egyéb szervezetek, illetve az egyéni felhasználók számítógépeinek esetében még markánsabb lehet a jelenléte.

Megbénult a trójai, de…

Noha az FBI közbelépésének köszönhetően a kártékony program a botnetek vezérlő szervereivel már nem tudja felvenni a kapcsolatot, és ezáltal nem képes további ártalmas tevékenységek végrehajtására, az általa jelentett kockázatok mégsem szűntek meg. Amikor az FBI lefoglalta a szervereket, akkor az ISC bevonásával arról is gondoskodott, hogy a DNSChanger által preferált DNS-szerverek - nyilvánvalóan megtisztított módon - elérhetőek maradjanak. Amennyiben ezt nem tette volna meg, akkor egyik óráról a másikra több millió fertőzött PC-n jelentkeztek volna internetelérési problémák. Az ISC azonban csak 120 napig vállalta e DNS-szolgáltatás életben tartását, és a határidő 30 napon belül lejár. Ezért a fertőzött számítógépeken néhány héten belül gondok adódhatnak az internetezéssel.

Noha a víruskeresők már jól ismerik a DNSChanger trójait, számos biztonsági cég adott ki ingyenes eszközöket, melyek révén kiszűrhető a trójai esetleges jelenléte. Ilyen ellenőrzőeszköz többek között az Avira DNS Repair-Tool ( http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1199 ) és a Qualys BrowserCheck ( https://browsercheck.qualys.com/ )is.

-vége-

A hír megjelenését a Biztonságportál támogatta.