Per maggiori dettagli sul malware DNS-CHANGER rimando a questo post del 6 marzo e successivo aggiornamento.
A parte alcune notizie apparse anche sulla stampa italiana, ed una di tenore decisamente catastrofico ( '….. blackout del Web...” ), ricordo brevemente come si e' giunti a questa attuale situazione riassumendo semplicemente quanto accaduto sino ad oggi.
Nel novembre 2011 a seguito di una operazione dell' FBI, veniva bloccata l'attivita' di una botnet utilizzata per distribuire il malware DNS-Changer.
Questo malware agiva andando a modificare l'indirizzo dei server DNS sulla macchina infetta, reindirizzando la navigazione in rete degli utenti su siti di vendita di prodotti contraffatti ecc.... con la possibilita' che venissero anche caricati ulteriori malware sulle macchine colpite.
L'Fbi contemporaneamente agli arresti dei cyber-criminali, per evitare una ulteriore diffusione del malware e bloccare l'accesso ai servers pericolosi puntati dai falsi DNS, ha sostituito gli stessi servers dai contenuti malevoli con altri non pericolosi (al medesimo indirizzo DNS) riservandosi di tenerli online (i nuovi servers) per un periodo di 120 giorni,con scadenza quindi l’8 di marzo, ma poi prorogata di altri 120 giorni.
A questo punto, essendo i server malevoli sostituiti con servers 'puliti' (ma sempre all'indirizzo originale impostato dal malware) la macchina infetta ha continuato a navigare senza problemi e senza accorgersi della modifica dei DNS.
Chiaramente al momento della messa OFFLINE dei servers temporanei, lunedi' prossimo, il computer infettato e con i DNS comunque modificati, non potra' piu' navigare online poiche' non riuscira' piu' a risolvere correttamente gli indirizzi web de siti.
Si stima che attualmente, dopo la campagna di informazione messa in atto da vari fornitori di servizi Internet, da Google ..ecc.., stiano ancora funzionando con i DNS per cosi dire 'fasulli' circa 300.000 macchine che, se confermato lo spegnimento dei servers lunedi', non saranno piu' in grado di navigare in rete.
L'FBI ha pubblicato un PDF dove illustra come verificare l'eventuale stato compromesso dei DNS sul proprio PC e gli indirizzi DNS interessati.
Si tratta in pratica di controllare che nelle impostazioni dei DNS del PC non appaiano quelli gestiti in passato dal malware ricordando anche, come si scrive sul documento, che e' possibile che a seguito del DNSChanger ci sia stata comunque anche una 'infezione' del PC con ulteriore malware.
Importante anche una verifica delle impostazione del router, se utilizzato, visto che il malware puo' modificare anche le impostazioni DNS sul router.
Come gia' scritto in passato, eseguire una verifica dei DNS sul proprio PC e' molto semplice.
Basta infatti collegarsi ad appositi siti che vi mostreranno se i DNS attivi sono quelli legittimi o se si stanno usando i DNS gestiti dai servers che verranno spenti lunedi'
Ecco alcune pagine di test DNS
Un nuovo sito in italiano di Telecom su http://www.dns-ok.it/
Il sto McAfee su http://www.siteadvisor.com/dns_checker.html
Altri:
Sito http://dns-ok.us/
Sito http://dns-ok.ca/ (in inglese e francese)
sito http://dns-ok.be/ (non occorre selezionare il test)
Da ricordare che avere, per chi usa Firefox, il plugin NOSCRIPT attivo, potrebbe in alcuni casi non permettere il corretto funzionamento del test.
Comunque, una verifica diretta nelle impostazioni di rete del PC e' sempre la migliore soluzione.
Edgar
Nessun commento:
Posta un commento