martedì 6 marzo 2012

l'8 marzo, il Malware DNSChanger ed alcuni siti di 'check' DNS (6 marzo)

Segnalata in rete da un grande numero di siti web, anche IT, la data dell'8 marzo come possibile D-Day per i PC infettati dal malware DNSChanger.

Quello che potrebbe succedere l'8 Marzo ha origine nel novembre 2011 quando, a seguito di una operazione dell' FBI, veniva bloccata l'attivita' di una botnet utilizzata per distribuire il malware DNSChanger.

Il malware operava modificando i DNS sulla macchina infetta provvedendo a reindirizzare la navigazione in rete degli utenti con la possibilta' di promuovere la diffusione di prodotti contraffatti e pericolosi.

L'Fbi contemporaneamente agli arresti dei cyber-criminali, per evitare una ulteriore diffusione del malware e bloccare l'accesso ai servers pericolosi puntati dai falsi DNS, ha sostituito gli stessi con altri non pericolosi riservandosi di tenerli online (i nuovi servers) per un periodo di 120 giorni, (con scadenza quindi l’8 di marzo.)

Come si legge su http://securityaffairs.co

“ …....... La situazione e' curiosa, perche' una volta scoperto il crimine informatico l'FBI per dare alle imprese ed ai privati colpiti del tempo per bonificare i sistemi infetti da DNSChanger , ha sostituito l'infrastruttura DNS con surrogati dei server DNS legittimi.
Con questa azione i federali hanno impedito la propagazione del worm. (L'FBI ha assunto il controllo della botnet di comando e controllo (C & C) nel mese di novembre come parte di Click Operazione Ghost.).........”

Adesso, a meno che tra due giorni non venga prorogata la data di takedown dei servers (8 marzo), per chi avesse il PC ancora funzionante con i DNS fake non sara' piu' possibile navigare in rete sino a che non avra' ripristinato dei DNS attivi.

Sempre su http://securityaffairs.co si legge anche come il numero dei PC infettati dal malware possa essere stato estremante elevato....

“To get an idea of the prevalence of the malware according to the declaration of the cyber journalist Brian Krebs, Internet Identity believes DNSChanger infected “half of all Fortune 500 firms, and 27 out of 55 major government entities.”

L'FBI ha pubblicato un PDF dove illustra come verificare l'eventuale stato compromesso dei DNS sul proprio PC e gli indirizzi DNS interessati.

Si tratta in pratica di controllare che nelle impostazioni dei DNS del PC non appaiano quelli gestiti in passato dal malware ricordando anche, come si scrive sul documento, che e' possibile che a seguito del DNSChanger ci sia stata comunque anche una 'infezione' del PC con ulteriore malware.

Importante anche una verifica delle impostazione del router, se utilizzato, visto che il malware puo' modificare anche le impostazioni DNS sul router.

Ricordo anche che esistono alcuni siti che parrebbero poter rilevare se il vostro PC stia utilizzando i DNS 'incriminati'

In pratica se chi accede al sito di 'check DNS' sta usando un indirizzo tra quelli segnalati e gestiti da FBI, viene proposta una schermata che evidenzia il problema.

Ecco alcune url di 'check' DNS

Per eseguire un test dei siti si e' provveduto a settare i DNS sul PC con l'indirizzo di quelli gestiti dal malware

ed ecco i risultati.


===================================

http://dns-ok.us/

Per il corretto funzionamento occorre se presente NO-Script che la pagina venga abilitata all'esecuzione degli script

Con DNS OK

con indirizzo DNS 'malware'


===================================

http://dns-ok.ca/

Per il corretto funzionamento occorre se presente NO-Script che la pagina venga abilitata all'esecuzione degli script (stranamente la versione in lingua francese parrebbe rilevare i fake DNS anche con NO-Script attivo)

Occorre accettare il test

Con DNS OK

con indirizzo DNS 'malware'


===================================

http://dns-ok.be/

Parrebbe funzionare anche con NO-Script attivo

Con DNS OK

con indirizzo DNS 'malware'

===================================

Parrebbe funzionare anche con NO-Script attivo

http://dns-ok.de/

Con DNS OK

con indirizzo DNS 'malware'


Evidentemente a parte il fatto di avere NO-Script attivato le pagine parrebbero evidenziare correttamente la presenza dei fake DNS anche se, comunque, una verifica diretta nelle impostazioni di rete del PC e' sempre la migliore soluzione.

Vedi anche: 8 marzo, il Malware DNSChanger ed alcuni siti di check DNS – Aggiornamenti

Edgar

1 commento:

3L3V3N ha detto...

Ciao Edgar sono Pierluigi Paganini founder di Security Affairs. Innanzitutto grazie per i riferimenti e le citazione. Posto il link del mio nuovo articolo in merito al DNSChanger per informare tutti della ulteriore proroga di 120gg.
http://securityaffairs.co/wordpress/3116/malware/dnschanger-fbis-internet-blackout-postponed-from-8-march-to-9-july.html

Saluti a tutti i lettori