Przejdź do głównej zawartości

8 marca zagrożony! Sprawdź swój komputer.

Dla większości z nas data 8 marca kojarzy się z kwiatami i ogólno krajowym podniosłym nastrojem związanym z Dniem Kobiet. Warto jednak wiedzieć iż ta symboliczna data, może również nieść za sobą groźne konsekwencje.

Międzynarodowe służby do spraw ochrony bezpieczeństwa internetowego, w ostatnich dniach świętowały sukces udanej akcji, podczas której została pojmana grupa cyber-przestępców odpowiedzialna za zainfekowanie licznych stron i serwerów, poprzez tzw. mechanizm "DNS Changer". Operacja ta nosiła nazwę "Operation Ghost Click".

Było to jednak sukces połowiczny. Funkcjonariuszom FBI udało się przejąć dostępy do serwerów używanych przez pojmanych spec-hakerów, jednak nie byli w stanie od infekować tych komputerów, które do tej pory znalazły się pod wpływem złośliwego wirusa.  Na tym etapie działań operacyjnych kluczowe jest to aby jak najszybciej dotrzeć do właścicieli zainfekowanych komputerów, na których wirus dokonał zmian ustawień DNS, a które nie zostały przez nich autoryzowane.

Bardzo istotną kwestią jest to aby jak najszybciej dotrzeć do tej grupy przed 8 marca 2012, ponieważ właśnie tego dnia FBI całkowicie wyłączy przejęte serwery. Pozwoli to na zatrzymanie dalszego rozprzestrzeniania się złośliwego oprogramowania, jednak prawdopodobnie uniemożliwi prawidłowe funkcjonowanie komputerów i sieci tych osób, które nie zweryfikowały swoich ustawień DNS.

Wyróżniamy dwa rodzaje mechanizmów opartych o "DNS Changer":


  • Pierwszy z nich ma miejsce gdy wirus modyfikuje ustawienia DNS na zainfekowanym komputerze z systemem Windows –zmiany obejmują ustawienia hosta pliku oraz ustawienia protokołu DHCP. Jeśli ustawienia DNS zostały zmienione, użytkownik nie uzyska dostępu do żądanej strony za pomocą jakiejkolwiek przeglądarki internetowej. W efekcie, użytkownik zostaje przekierowany przez e-napastnika do wcześniej zdefiniowanej przez niego witryny.
  • Drugi z nich ma miejsce gdy wirus modyfikuje nazwy ustawień systemowych routera. Co oznacza, że zmiany ustawień DNS nie są wprowadzane bezpośrednio na zagrożonym komputerze, a na routerze, który jest np. odpowiedzialny za połączenie sieci domowej z Internetem.
Wirus ten jest dodatkowo wyposażony w listę loginów i haseł dostępowych, do większości najbardziej popularnych routerów na rynku. Dzięki czemu napastnik bez większego problemu może uzyskać dostęp do interfejsu routera, dokonując dowolnych zmian. 

Taki atak nie byłby możliwy, gdyby użytkownicy zmieniali loginy i hasła dostępowe zaraz po podłączeniu ich do sieci. Jednak jak pokazuje praktyka, większość użytkowników jak i administratorów sieci nie dba o tego typu „szczegóły”. Dzięki czemu hakerzy są w stanie dowolnie zmieniać i modyfikować ustawienia DNS, co pozwala im na przejęcie kontroli praktycznie nad każdym użytkownikiem Internetu.

Co więc dokładnie wydarzy się 8 marca 2012?

FBI zamknie przejęte serwery, które w chwili obecnej są pod ich nadzorem. Co oznacza, że wszyscy użytkownicy, którzy:

  • są zainfekowani przez wirusa "DNS changer"
  • nie przywrócili swoich ustawień DNS do stanu "normalnego", 
lub domyślnego mogą się zetknąć z problemami nieprawidłowego funkcjonowania stron www i serwerów, na skutek tego iż FBI całkowicie wyłączy przejęte serwery.


Jak można sprawdzić czy i nasz komputer nie uległ atakowi?

Przede wszystkim przeskanuj cały system odpowiednim oprogramowaniem antywirusowym np. G Data Internet Security 2012. Jeśli Twoje oprogramowanie antywirusowe wykryje jakieś podejrzane zmiany w Twoich ustawieniach systemowych, otrzymasz czerwony alert potwierdzający obecność wrogiego oprogramowania. Dodatkowo koniecznie sprawdź ustawienia:

  • pliku "hosts"
  • DHCP
  • przeglądarki internetowej
  • routera
Uwaga: Jeśli testy online lub ręczne zmiany ustawień DNS są poprawne, to jeszcze nie musi oznaczać, iż Twój komputer będzie wolny od szkodliwego oprogramowania na zawsze! W każdym przypadku należy przeprowadzać regularne skanowanie komputera oraz dbać o aktualność oprogramowania antywirusowego.

Dodatkowe aby zwiększyć Twoje bezpieczeństwo funkcjonowania w sieci:

  • korzystaj z najnowszych, kompleksowych wersji oprogramowania antywirusowego, zawierającego skaner antywirusowy, firewall oraz spam detektor
  • zawsze dbaj o to aby mieć zainstalowane najnowsze aktualizacje zarówno oprogramowania jak i przeglądarki internetowej
  • po podłączeniu urządzeń sieciowych, pamiętaj o zmianie haseł dostępowych z "fabrycznych" na własne, mocne hasła
  • jeśli zauważyłeś, że Twój komputer został zainfekowany zmień wszystkie hasła, których używasz do dostępów on-line (bankowość on-line, serwisy społecznościowe, konta pocztowe etc.)

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…