圖1:域名系統(tǒng)(DNS)的工作原理
用戶:那么DNSChanger是如何進(jìn)行攻擊的呢?
賽門鐵克安全響應(yīng)中心:通過改變一臺(tái)電腦的DNS設(shè)置,惡意軟件的作者們能夠控制某臺(tái)電腦與互聯(lián)網(wǎng)上的哪些網(wǎng)站相聯(lián)接,能夠迫使某臺(tái)受影響的電腦去 聯(lián)接一個(gè)“欺詐網(wǎng)站”�,或者把該電腦從一個(gè)本想去訪問的網(wǎng)站引開。為了做到這一點(diǎn)���,惡意軟件作者需要用惡意代碼去感染電腦���,在該案例中,這種惡意代碼就是 DNSChanger�����。一旦某臺(tái)電腦了感染這種惡意代碼���,惡意軟件便會(huì)將DNS設(shè)置從ISP的合法DNS服務(wù)器地址修改成“流氓DNS服務(wù)器地址”�。
圖2: DNSChanger的工作原理
用戶:賽門鐵克能保護(hù)我們不受這一威脅的影響么?
賽門鐵克安全響應(yīng)中心:是的��,賽門鐵克檢測(cè)出這一威脅為Trojan.Flush.K���,它最初名叫Trojan.Dnschanger����。而且,我們的追蹤監(jiān)測(cè)從2007年1月開始就進(jìn)行了�。
用戶:這也許是個(gè)愚蠢的問題,但我想知道為什么這些攻擊者想將我引導(dǎo)到惡意服務(wù)器上?
賽門鐵克安全響應(yīng)中心:實(shí)際上這是一個(gè)很好的問題���,但其答案卻很簡單:利益驅(qū)使�。Kevin Haley寫了一篇關(guān)于網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)以及他們是怎樣進(jìn)行這種犯罪的博文�����,http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted�。
用戶:這一惡意軟件和這種網(wǎng)絡(luò)犯罪有多長時(shí)間了?事實(shí)上,Kevin Haley說��,那些惡意攻擊者在去年年底就被FBI抓住了!
賽門鐵克安全響應(yīng)中心:是的�,沒錯(cuò)。實(shí)際上FBI有一篇關(guān)于Operation Ghost Click的好文章��,是關(guān)于如何抓獲這一犯罪團(tuán)伙的調(diào)查工作的�����,值得一讀�。
用戶:那么為什么現(xiàn)在他們還這么猖獗?
賽門鐵克安全響應(yīng)中心:我很高興您問這個(gè)問題。FBI曾通過法庭命令要求“互聯(lián)網(wǎng)系統(tǒng)聯(lián)盟”(ISC)部署和維持安全的DNS服務(wù)器���,來代替由惡意 攻擊者運(yùn)行的“流氓DNS服務(wù)器”�,以便給使用被感染電腦的用戶留出足夠的時(shí)間來清除該威脅�����。然而�����,這只是一個(gè)臨時(shí)性解決方案�����,由ISC依照法庭命令運(yùn)行 的服務(wù)器將在2012年7月9日被關(guān)閉���。一旦這種情況發(fā)生�����,仍然被感染的電腦將失去互聯(lián)網(wǎng)連接����,可能引起大面積的“斷網(wǎng)”。
用戶:那么����,被這種威脅所感染的電腦是不能訪問某些網(wǎng)站,還是所有網(wǎng)站呢?
賽門鐵克安全響應(yīng)中心:不����,是不能訪問所有網(wǎng)站。將失去互聯(lián)網(wǎng)連接���。如果您的電腦在7月9日仍然在使用指向FBI服務(wù)器的DNS條目����,那么您將徹底不能訪問互聯(lián)網(wǎng):不能從家里連接辦公室���,不能更新Facebook內(nèi)容�,在DNS設(shè)置修復(fù)之前什么都不能做�����。
用戶:我怎樣才能弄清我的電腦是否被DNSChanger感染?
賽門鐵克安全響應(yīng)中心:一個(gè)名叫“DNSChanger 工作組(DCWG)”的特別行動(dòng)小組已經(jīng)成立��,來幫助人們確定他們的電腦是否已被這一威脅感染���,同時(shí)也幫助他們清除該威脅���。用戶可訪問由DCWG維護(hù)的 DNS Changer Check-Up頁面,以確定其電腦是否被感染�����。也有由DCWG的Detect 頁面上所列的其他機(jī)構(gòu)所維護(hù)的采用各種不同語言的其他頁面��。各種不同機(jī)構(gòu)也在主動(dòng)告知用戶他們的電腦是否被DNSChanger感染��。FBI還編寫了關(guān)于 怎樣手動(dòng)確定一臺(tái)電腦是否被感染的說明�,請(qǐng)點(diǎn)擊:http://www.fbi.gov/news/stories/2011/november /malware_110911/DNS-changer-malware.pdf。
除了檢測(cè)惡意代碼外��,被DNSChanger感染的賽門鐵克和諾頓客戶��,還可以通過我們配有的一個(gè)被稱為SecurityRisk.FlushDNS的檢測(cè)系統(tǒng)的終端產(chǎn)品進(jìn)行檢測(cè)��。
用戶:為什么賽門鐵克的產(chǎn)品不能自動(dòng)為用戶修復(fù)DNS設(shè)置?
賽門鐵克安全響應(yīng)中心:賽門鐵克的產(chǎn)品不能恢復(fù)某臺(tái)被感染電腦上的DNS設(shè)置��,是因?yàn)槲覀儫o法知道其原始設(shè)置是什么���。
用戶:賽門鐵克還有什么措施可以避免我們受到類似威脅呢?
賽門鐵克安全響應(yīng)中心:我們有自己的DNS服務(wù)器���,通過相應(yīng)的配置他們可以阻攔不安全的網(wǎng)站�。這種產(chǎn)品被稱為Norton ConnectSafe��,相當(dāng)不錯(cuò)�����,而且完全免費(fèi)����,詳情點(diǎn)擊:https://dns.norton.com/dnsweb/homePage.do
果.jpg)
