DNSChanger Malware / DNS invasor - “Dia do juízo da Internet” 9 de julho

No final de 2011, o FBI desmantelou uma grande e sofisticada rede de fraudes na Internet por trás do DNSChangervírus / malware. Parte desse malware envolvia direcionar as solicitações de DNS da vítima para servidores invasores controlados pelos autores do malware.

Após prender os autores, o FBI e o ISC configuraram servidores DNS "limpos" para substituir os servidores invasores usados pelos autores do malware. Esses servidores estão programados para interromper a operação em 9 de julho de 2012.

Existem muitos artigos, principalmente este que chamou minha atenção. Sinceramente, nunca ouvi nada sobre isso até hoje de manhã, quando meu chefe me pediu para "preparar" algo para nossos colegas de trabalho, para mantê-los atualizados.

Em primeiro lugar, mais alguém já ouviu falar sobre isso e devo me preocupar? O DNS no meu ambiente de trabalho não está no intervalo do DNS invasor afetado, mas isso não significa que o meu em casa ou qualquer um de meus colegas possa estar.

Segundo, como devo me preparar para ter certeza de que tudo está seguro e funcionando como deveria ser no dia 9 de julho?

domain-name-system internet

— C-vertigem
fonte

Um pouco tarde para começar a se preocupar com este agora ... é um pouco como começar seus esforços para o ano 2000 no Natal '99.

— Womble

É verdade, mas não era eu que me preocupava com isso, era meu chefe.

— C-dizzle

Por que isso não estava no seu radar meses atrás? Está em andamento há apenas 7 meses, com muita discussão nos locais onde administradores de sistemas profissionais discutem essas coisas. O NANOG tem discutido isso quase sem parar.

— Womble

@womble Por que o FBI não apenas seus servidores DNS relataram registros "falsos" para todos os sites que direcionam os usuários infectados para uma página com informações sobre o malware, com instruções para alterá-lo novamente? Normalmente, desprezo quando os provedores de DNS fazem coisas assim, mas parece que isso seria uma exceção aceitável.

— Tom Marthenal

@ TomMarthenal: Existem algumas partes da Internet que não são tráfego HTTP.

— Womble

Respostas:

Não é com seus servidores DNS que você precisaria se preocupar. São as máquinas clientes que foram infectadas por esse malware.

Basicamente, o que aconteceu foi que, quando o FBI prendeu os autores do vírus, eles assumiram o controle dos servidores DNS que estavam executando. Agora, eles não podem executá-los para sempre usando o dinheiro do contribuinte e têm um tempo limitado devido à ordem judicial emitida.

Do seu lado, você precisa garantir que as máquinas clientes não estejam infectadas com vírus.

Há um monte de boas informações sobre FBI a Operação Fantasma Clique website

— Zypher
fonte

Além do que Zypher mencionou, você também pode conferir a postagem do blog do ISC sobre isso e o site do DNS Changer Working Group, especificamente dedicado a essa bagunça.

Em particular, o site do ISC menciona o seguinte re: como detectar se seus sistemas são afetados:

O seu DNS está bom?
Meia dúzia de equipes nacionais de segurança da Internet em todo o mundo criaram sites especiais que exibem uma mensagem de aviso para possíveis vítimas da infecção pelo DNS Changer.
Por exemplo, se você visitar http://dns-ok.de/ , receberá uma página em alemão dizendo que parece estar infectado ou que não está infectado. Andrew Fried e eu criamos http://dns-ok.us/ para o mesmo objetivo, embora, é claro, nossa página esteja em inglês americano.
A lista completa desses sites de "Verificação de DNS" está publicada no site do DCWGjuntamente com muitas informações sobre a ameaça, as prisões, a remoção, as ordens judiciais e as informações de limpeza das vítimas. Agora que temos todos esses sites capazes de dizer a alguém se eles são vítimas e dizer às vítimas o que fazer para limpar seus computadores e seus roteadores domésticos, o problema parece estar levando as pessoas a se importarem.

— voretaq7
fonte