image

Malware geeft 2,5 miljoen computers 'internetverbod'

zondag 15 januari 2012, 10:11 door Redactie, 7 reacties

Ruim 2,5 miljoen met malware besmette computers kunnen vanaf 8 maart niet meer het internet op, tenzij de gebruikers de DNS-instellingen aanpassen. De computers zijn met de DNS Changer-malware geïnfecteerd, die het internetverkeer via kwaadaardige servers liet lopen. Zo werden zoekresultaten en advertenties gemanipuleerd, waarmee de bende achter de malware geld verdiende. Het DNS Changer-botnet werd in november door de FBI en anti-virusbedrijf Trend Micro ontmanteld. In eerste instantie werd geschat dat het om 4 miljoen computers ging, maar dit werd later naar 2,5 miljoen bijgesteld.

In samenwerking met het Internet Systems Consortium (ISC),de non-profit organisatie die ook de DNS-software BIND beheert, werden alternatieve DNS-servers opgezet. Daarmee maken de 2,5 miljoen besmette computers nu verbinding om te kunnen surfen. Deze servers worden echter op 8 maart 2012 uitgezet, waardoor de DNS-instellingen van de geïnfecteerde pc's niet meer werken, en daardoor ook geen websites meer kunnen bezoeken.

Telefoonboek
De Duitse overheid waarschuwde deze week de bevolking om via een speciale website de DNS-instellingen te testen. Volgens de FBI zouden er in Duitsland 33.000 computers met de malware besmet zijn, zo laat het Bundesamt für Sicherheit in der Informationstechnik (BSI) weten.

"Deze servers worden op 8 maart 2012 afgesloten. Zonder de instellingen te wijzigen is internettoegang voor deze computers niet meer mogelijk, aangezien de gebruiker geen toegang meer tot het telefoonboek (DNS) van het internet heeft en kan de computer geen websites meer opvragen", stelt het BSI.

Reacties (7)
15-01-2012, 10:32 door Anoniem
"Ihre DNS Konfiguration ist korrekt"

volgens bovenstaande link...
15-01-2012, 11:29 door Anoniem
Ruim 2,5 miljoen met malware besmette computers kunnen vanaf 8 maart niet meer het internet op, tenzij de gebruikers de DNS-instellingen aanpassen.

Dat helpt niet. Het virus past net zo gemakkelijk de nameserverinstellingen weer aan. Dat zelfde gebeurt namelijk ook bij het booten. Dan krijg je ook nieuwe nameserver te horen van de server. Die worden door het virus aangepast.

Bedenk trouwens ook dat een fors aantal ADSL- en kabelrouters hetzelfde probleem hebben. Die zijn ook besmet en gebruiken de verkeerde nameservers.

Peter
15-01-2012, 12:29 door SLight
Door Anoniem: "Ihre DNS Konfiguration ist korrekt"

volgens bovenstaande link...

Zit denk ik een PHP-code, oid achter die controleert op de gebruikte DNS settings van de malware servers.
15-01-2012, 15:40 door Army
Door SLight:
Door Anoniem: "Ihre DNS Konfiguration ist korrekt"

volgens bovenstaande link...

Zit denk ik een PHP-code, oid achter die controleert op de gebruikte DNS settings van de malware servers.
Hoezo? Een DNS-antwoord via de foutieve DNS-servers kom je op een site uit die je vertelt dat je computer onderhoudt moet hebben en een antwoord via de normale infrastructuur kom je op een site uit die vertelt dat er niets aan de hand is. Global directors doen eigenlijk niets anders dan bijvoorbeeld antwoorden geven op basis van waar je vandaan komt of welke sites allemaal up and running zijn.
16-01-2012, 10:21 door spatieman
apart..
ik krijg ook een OK melding, terwijl ik de ISP dns niet eens gebruik...
16-01-2012, 10:23 door pj.de.bruin
Kunnen die alternatieve DNS-servers door ISC niet geconfigureerd worden om naar instructies te linken hoe de gedupeerden hun computers moeten opschonen, in plaats van domweg uitgezet te worden?
16-01-2012, 10:27 door pj.de.bruin
Door spatieman: apart..
ik krijg ook een OK melding, terwijl ik de ISP dns niet eens gebruik...
Klopt, OK wil zeggen dat je niet de servers van dat botnet gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.