本周,美国联邦调查局(FBI)宣布将关闭与DNSChanger恶意软件相关的服务器,这将使得感染到这种威胁的电脑有可能无法访问互联网。为此,赛门铁克提醒广大用户,特别是中小企业用户应立即采取必要的措施,以尽可能降低损失。
目前全球仍受DNSChanger感染的电脑数量至少有30万台,这将给很多电脑用户、尤其是中小企业带来挑战。中小企业对互联网有很大依赖性,他们需要依靠互联网来完全包括日常沟通、电子商务等工作,而“断网”对于他们来说,将是一个很严重的困扰。同时,由于中小企业通常没有专门的IT人员,所以DNSChanger带来的问题可能会给他们造成灾难性的影响,除非,他们采取正确的防范措施。被称为DNSChanger的恶意软件已经见诸报端,并且引起了业界的持续关注。赛门铁克提醒广大用户:如果不及时采取行动的话,就可能面临“断网”的危险。
一位对此感到担心的赛门铁克用户最近向“赛门铁克安全响应中心”提出了一些问题:比如,这种威胁是怎样运作的,这种恶意威胁对他或其他用户将带来哪些危害意等若干问题。赛门铁克在此与大家进行分享,希望广大用户能对此威胁有深入的了解,并能在必要时采取防范措施。
用户: DNSChanger是什么?
赛门铁克安全响应中心:它是一个能够改变受感染电脑上的域名系统(Domain Name System, DNS)设置的恶意软件,由此而得名。
用户:DNS设置是什么?它是怎样发挥作用的?
赛门铁克安全响应中心:DNS是一种互联网服务,它能将用户友好的域名转换成电脑用来彼此通信的数字式互联网协议(IP)地址。当您在自己的网页浏览器地址栏中输入一个域名时,您的电脑会与DNS服务器联系,确定该网站的IP地址。然后,您的电脑将利用这个IP地址来定位和联接该网站。DNS服务器由互联网服务提供商(ISP)来运行,已经列入在您的电脑的网络配置中。
图1:域名系统(DNS)的工作原理
用户:那么DNSChanger是如何进行攻击的呢?
赛门铁克安全响应中心:通过改变一台电脑的DNS设置,恶意软件的作者们能够控制某台电脑与互联网上的哪些网站相联接,能够迫使某台受影响的电脑去 联接一个“欺诈网站”,或者把该电脑从一个本想去访问的网站引开。为了做到这一点,恶意软件作者需要用恶意代码去感染电脑,在该案例中,这种恶意代码就是 DNSChanger。一旦某台电脑了感染这种恶意代码,恶意软件便会将DNS设置从ISP的合法DNS服务器地址修改成“流氓DNS服务器地址”。
图2: DNSChanger的工作原理
用户:赛门铁克能保护我们不受这一威胁的影响么?
赛门铁克安全响应中心:是的,赛门铁克检测出这一威胁为Trojan.Flush.K,它最初名叫Trojan.Dnschanger。而且,我们的追踪监测从2007年1月开始就进行了。
用户:这也许是个愚蠢的问题,但我想知道为什么这些攻击者想将我引导到恶意服务器上?
赛门铁克安全响应中心:实际上这是一个很好的问题,但其答案却很简单:利益驱使。Kevin Haley写了一篇关于网络攻击者的动机以及他们是怎样进行这种犯罪的博文,http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted。
用户:这一恶意软件和这种网络犯罪有多长时间了?事实上,Kevin Haley说,那些恶意攻击者在去年年底就被FBI抓住了!
赛门铁克安全响应中心:是的,没错。实际上FBI有一篇关于Operation Ghost Click的好文章,是关于如何抓获这一犯罪团伙的调查工作的,值得一读。
用户:那么为什么现在他们还这么猖獗?
赛门铁克安全响应中心:我很高兴您问这个问题。FBI曾通过法庭命令要求“互联网系统联盟”(ISC)部署和维持安全的DNS服务器,来代替由恶意 攻击者运行的“流氓DNS服务器”,以便给使用被感染电脑的用户留出足够的时间来清除该威胁。然而,这只是一个临时性解决方案,由ISC依照法庭命令运行 的服务器将在2012年7月9日被关闭。一旦这种情况发生,仍然被感染的电脑将失去互联网连接,可能引起大面积的“断网”。
用户:那么,被这种威胁所感染的电脑是不能访问某些网站,还是所有网站呢?
赛门铁克安全响应中心:不,是不能访问所有网站。将失去互联网连接。如果您的电脑在7月9日仍然在使用指向FBI服务器的DNS条目,那么您将彻底不能访问互联网:不能从家里连接办公室,不能更新Facebook内容,在DNS设置修复之前什么都不能做。
用户:我怎样才能弄清我的电脑是否被DNSChanger感染?
赛门铁克安全响应中心:一个名叫“DNSChanger 工作组(DCWG)”的特别行动小组已经成立,来帮助人们确定他们的电脑是否已被这一威胁感染,同时也帮助他们清除该威胁。用户可访问由DCWG维护的 DNS Changer Check-Up页面,以确定其电脑是否被感染。也有由DCWG的Detect 页面上所列的其他机构所维护的采用各种不同语言的其他页面。各种不同机构也在主动告知用户他们的电脑是否被DNSChanger感染。
除了检测恶意代码外,被DNSChanger感染的赛门铁克和诺顿客户,还可以通过我们配有的一个被称为SecurityRisk.FlushDNS的检测系统的终端产品进行检测。
用户:为什么赛门铁克的产品不能自动为用户修复DNS设置?
赛门铁克安全响应中心:赛门铁克的产品不能恢复某台被感染电脑上的DNS设置,是因为我们无法知道其原始设置是什么。
用户:赛门铁克还有什么措施可以避免我们受到类似威胁呢?
赛门铁克安全响应中心:我们有自己的DNS服务器,通过相应的配置他们可以阻拦不安全的网站。这种产品被称为Norton ConnectSafe,相当不错,而且完全免费。