Come funziona il rilevamento del malware di DNS Changer?

Naviga le tue risposte
4

Questo malware indirizza il tuo computer all'uso dei server DNS sotto il controllo dei cattivi. Questi server DNS sono stati rilevati dall'FBI. Sono stati sostituiti con quelli puliti, per evitare interruzioni del servizio, ma questo servizio finanziato dai contribuenti verrà interrotto il 9 luglio .

Siti come Google e dns-ok.us hanno un qualche modo per sapere se sei infetto dal malware di DNS Changer, quindi puoi avvisarti, aiutarti a risolvere il problema in modo da non perdere Internet quando arriva il 9 luglio.

Sono corretto assumendo che utilizzino il seguente modello per rilevare questo?

  1. I server DNS sostituiti dall'FBI cercano l'indirizzo IP per un dominio di esempio. (come dns-ok.us)
  2. I server DNS dns-ok sanno se questo è uno di quei server sostituiti da DNS / FBI. Se lo è, fornisce l'indirizzo IP per i visitatori infetti, altrimenti fornisce quello per i visitatori puliti.
  3. Utilizzando l'indirizzo IP di destinazione della richiesta in arrivo, la pagina web è in grado di sapere se mostrare il messaggio "sei infetto".

Ciò richiederebbe uno dei seguenti aspetti per clean vs not clean

  • Server separati
  • Interfacce di rete separate (fisiche o virtuali, il punto è di tenere separati IP)
  • Un router con diversi port forwarding per ciascuno dei due (tipi di) IP.

O c'è una soluzione più elegante che stanno usando? O è coinvolta la cooperazione dell'FBI?

    
posta George Bailey 07.06.2012 - 19:40
fonte

2 risposte

3

Tutto dipende dalla risoluzione DNS. Se la richiesta passa attraverso il "server buono", otterrai la pagina verde. Se le tue impostazioni sono sbagliate, otterrai la pagina rossa.

Puoi controllare le tue impostazioni DNS digitando ipconfig /all nella tua riga di comando. Qui puoi vedere l'elenco delle impostazioni errate ".

Per verificare come funziona potresti utilizzare nslookup .

nslookup dns-ok.us 8.8.8.8 - questo restituisce Address: 38.68.193.96 e il traffico passa attraverso il "server buono".

nslookup dns-ok.us 64.28.176.0 - questo restituisce Address: 38.68.193.97 e il traffico passa attraverso il 'server cattivo' (dall'elenco collegato).

Ora digita gli indirizzi nella barra degli indirizzi: %codice% %codice% e confronta i risultati.

    
risposta data 07.06.2012 - 20:01
fonte
0

I server DNS di Google e "dns-ok.us" possono rilevare le query provenienti dall'indirizzo IP del server DNS non valido (utilizzando una visualizzazione "match-client" nel software BIND). Nelle query corrispondenti, le risposte vengono modificate per fornire un indirizzo IP per un server web che mostra il messaggio di avviso, piuttosto che il normale server web.

Ad esempio: dig www.google.com @64.28.176.0 mostra: 

www.google.com.         334428  IN      CNAME   www.l.google.com.
www.l.google.com.       229     IN      CNAME   www-infected.l.google.com.
www-infected.l.google.com. 226  IN      A       216.239.32.6
    
risposta data 15.06.2012 - 04:50
fonte

Leggi altre domande sui tag

Miscelazione di SSL a basso costo e SSL EV Possibile vulnerabilità legata al download di file arbitrari