Come ottenere DNSChanger dal tuo router

DNSChanger

Oggi l'FBI ha tolto la spina ai server dannosi che gestiscono il traffico per computer e sistemi infettati dal malware DNSChanger e, nonostante mesi di avvisi, molte persone che utilizzano sistemi infetti sono state bloccate da Internet a causa della chiusura. (Alcuni dei sistemi interessati sono un po 'imbarazzanti: il sistema di transito del New Jersey è stato apparentemente influenzato dalla chiusura di questa mattina.)

Tuttavia, anche se i tuoi PC Windows sono privi del malware DNSChanger (l'hai controllato, vero?) Potresti comunque aver perso la connettività grazie allo spegnimento. Perché? Perché il malware, una volta sistemato caldamente su un PC ignaro, includeva anche codice per rilevare e tentare di penetrare nei router trovati sulla rete locale. Se DNSChanger riuscisse a entrare in un router, il malware altererebbe le impostazioni DNS. Quindi, anche se DNSChanger viene rimosso dal computer infetto originale, le impostazioni DNS modificate su un router potrebbero significare qualsiasi cosa sulla rete locale, inclusi PC, Mac, smartphone, tablet, console di gioco e smart TV, potrebbero essere influenzate da DNSChanger spegnimento.

Come funziona DNSChanger

clic fantasma

DNSChanger è stato il lavoro della società estone Rove Digital; è apparso per la prima volta su Internet nel 2007, ma si stava ancora diffondendo fino a pochi mesi fa. Invece di agire come uno spyware o scansionare i computer degli utenti alla ricerca di informazioni sensibili, DNSChanger ha modificato le voci del server DNS nei computer infetti (e, a volte, ha rilevato router nelle vicinanze) in modo che puntino a server dei nomi non autorizzati sotto il controllo degli autori del malware, piuttosto che ai server DNS fornito da un ISP o un'organizzazione. Il risultato è che ogni volta che un utente di un sistema infetto cerca un sito su Internet (ad esempio, www.digitaltrends.comowww.netflix.com) la richiesta è stata moderata dai server di Rove Digital e ciò ha consentito loro di iniettare la propria pubblicità nelle pagine recuperate dagli utenti infetti. Ciò, a sua volta, ha generato entrate per Rove Digital: al suo apice, si stima che DNSChanger abbia infettato più di 4 milioni di computer in tutto il mondo e potrebbe aver generato fino a $ 15 milioni di entrate pubblicitarie fasulle per Rove Digital.

La chiusura dell'FBI significa che quei server dei nomi canaglia sono ora offline. Tuttavia, tutti i computer o router che sono stati interessati da DNSChanger proveranno comunque a inviare loro richieste di ricerca. Ad oggi, non riceveranno alcuna risposta, il che significa che quando quei computer tentano di cercare www.digitaltrends.com, non riceveranno una risposta e non saranno in grado di connettersi al sito.

Innanzitutto, controlla l'infezione

DNS Changer Check Red

Prima di esaminare il router, assicurati innanzitutto che tutti i PC sulla rete siano privi del malware DNSChanger. Il malware non è nuovo, quindi se hai tenuto aggiornate le definizioni dei virus dovresti essere al sicuro. Tuttavia, assicurati di controllare tutti i PC che usi sulla tua rete locale, anche quel vecchio notebook Windows XP in un armadio che non accendi più.

Il DNSChanger Working Group aveva impostato siti Web di rilevamento che potevano immediatamente dire agli utenti se si trovavano su un PC (o una rete) influenzato da DNSChanger, ma dopo l'arresto dell'FBI questi sono stati portati offline. Il modo migliore per determinare se un PC è infetto ora è utilizzare un pacchetto di protezione del computer aggiornato o utilizzare uno degli strumenti gratuiti disponibili da fornitori di sicurezza affidabili come Symantec, Microsoft, Kaspersky, Trend Micro, McAfee e altri per rimuovere il malware. (DNSChanger è una bestia complicata: la semplice reinstallazione di Windows o il ripristino di un backup non è sufficiente per rimuoverlo.)

È importante essere certi che tutti i PC della rete siano privi di DNSChanger prima di provare a risolvere i problemi con il router: altrimenti, un'infezione DNSChanger attiva potrebbe semplicemente creare nuovamente problemi con il router.

DNSChanger è un malware solo per Windows: non è necessario verificare l'infezione su Mac, telefoni, tablet, console o altri dispositivi non Windows che potresti avere sulla tua rete.

Controlla le impostazioni DNS del tuo router

Quando DNSChanger attacca i router, in realtà non li infetta , ovvero il malware non si installa sul router e quindi si diffonde dal router ad altri dispositivi. Piuttosto, cambia le impostazioni DNS sui router per inviare richieste di ricerca attraverso i server dei nomi non autorizzati. Quindi, vuoi accedere al tuo router, controllare le impostazioni e (se necessario) cambiarle in server dei nomi funzionanti;

Sfortunatamente, le specifiche per trovare le impostazioni DNS per un router domestico variano ampiamente a seconda dell'ISP e del tipo di rete domestica che stai utilizzando. Molte persone hanno reti domestiche molto semplici, ma altre sono più complicate. (Ad esempio, la mia rete domestica ha quattro router su di essa e tutti hanno configurazioni bizzarre e praticamente nulla sulla mia rete utilizza l'indirizzamento dinamico.) Tuttavia, le basi sono tutte le stesse:

Accedi al tuo router:  quasi tutti i router moderni possono essere configurati utilizzando un'interfaccia basata sul Web. Per la maggior parte dei router domestici D-Link e NetGear, gli utenti sulla rete locale possono accedere alla pagina di configurazione qui:

//198.168.0.1/

I router Linksys sono spesso configurati per utilizzare:

//198.162.1.1/

La maggior parte degli altri router domestici utilizza uno di questi due indirizzi per impostazione predefinita; se nessuno di questi indirizzi funziona, controlla le informazioni di installazione fornite con il router o dal tuo ISP.

Trova le impostazioni DNS del tuo router:  le interfacce basate sul Web offerte dai router variano notevolmente e talvolta cambiano in modo significativo con gli aggiornamenti. Dopo aver effettuato l'accesso al router, in genere si desidera trovare una pagina o una scheda per "Impostazioni di base", "Impostazioni Internet", "Configurazione Internet" o "Impostazioni WAN". All'interno di questo, desideri trovare le voci per "Domain Name Server", "DNS Server" o "DNS setup".

Ecco un esempio da un vecchio router LinkSys:

Server DNS del router Linksys (DNSChanger)

Ecco un esempio da un router NetGear recente:

Server DNS del router Netgear (DNSChanger)

Il tuo router potrebbe essere configurato per ottenere automaticamente le informazioni DNS dal tuo ISP - questo è anche chiamato "DNS dinamico". In tal caso, non è necessario modificare nulla. (Finché il tuo ISP non è infetto da DNSChanger o fornisce informazioni fasulle, starai bene.)

Se il tuo router utilizza la configurazione DNS manuale, o "DNS statico", dovresti vedere almeno due posizioni in cui accedere ai server DNS, che saranno spesso etichettati come "primario" e "secondario". (I router e la maggior parte degli altri dispositivi sono configurati per utilizzare più server DNS: nel caso in cui uno si interrompa, passeranno a un altro.) Molto probabilmente, questi saranno espressi in quattro campi di testo, uno per ogni parte di un indirizzo IP IPv4.

Controlla i valori:  confronta i valori del server DNS nel router con questo elenco:

64.28.176.0per64.28.191.255
67.210.0.0per67.210.15.255
77.67.83.0per77.67.83.255
85.255.112.0per85.255.127.255
93.188.160.0per93.188.167.255
213.109.64.0per213.109.79.255

Per vedere se c'è una corrispondenza, inizia dal numero più a sinistra negli indirizzi IP dal tuo router e procedi attraverso l'indirizzo a destra. Ad esempio, se uno dei tuoi server DNS fosse 64.28.111.0, vedresti che 64corrisponde al primo intervallo di indirizzi sopra elencato. Controllando ulteriormente, anche le 28partite! Ma non111 è compreso tra 176 e 191 per la terza parte dell'indirizzo, quindi sei al sicuro. D'altra parte, se gli indirizzi del server DNS iniziano entrambi con (diciamo) non è necessario controllare ulteriormente: nessun server non autorizzato era nell'intervallo di indirizzi 205.205

(Se hai accesso a Internet, puoi anche inserire gli indirizzi DNS del tuo router in un servizio di ricerca sul sito Web dell'FBI, che esegue lo stesso controllo descritto sopra.)

Aggiornare i server DNS:  Se i server DNS nel router fanno cadere negli intervalli di cui sopra, è necessario cambiare loro di ripristinare l'accesso a Internet. Il tuo ISP dovrebbe aver fornito informazioni su come configurare il tuo router, inclusi i server DNS consigliati. Trova queste informazioni, inserisci gli indirizzi del server corretti (ce ne saranno almeno due!) E salva le modifiche.

Se non riesci a trovare le informazioni sul server DNS del tuo ISP, puoi utilizzare in alternativa il servizio DNS gratuito di Google: inserisci gli indirizzi 8.8.8.8e 8.8.4.4come server DNS primario e secondario. Anche se non ti senti a tuo agio nell'inviare le tue query DNS a Google, l'utilizzo dei server DNS di Google ti consentirà almeno di riportare il tuo router online in modo da poter accedere all'area di supporto del tuo ISP (o contattarlo direttamente) per ottenere i loro server DNS preferiti .

Cambia la password del tuo router

In che modo DNSChanger ha modificato i router domestici in primo luogo? La maggior parte dei router viene fornita con un nome utente e una password predefiniti in modo che i nuovi utenti possano accedervi e configurarli quando li tolgono dalla scatola. Sebbene i router più recenti abbiano approcci più sofisticati, quando DNSChanger apparve per la prima volta, milioni di router venivano inviati dalle fabbriche utilizzando solo una manciata di nomi utente e password. La maggior parte degli utenti domestici non ha mai cambiato queste credenziali, quindi quando il malware DNSChanger trova un router domestico, prova essenzialmente le combinazioni di nome utente e password predefinite e spera di essere fortunato.

Se i server DNS del tuo router sono stati modificati da DNSChanger, probabilmente è entrato utilizzando una di quelle password predefinite. Mentre sei nella configurazione del router, cambia la password e (ove possibile) il nome utente sul router in qualcosa di più sicuro. Segui le stesse regole che useresti per qualsiasi altra password: non usare parole di tutti i giorni, non usare cose facilmente indovinabili come compleanni o nomi di parenti o animali domestici e usa password lunghe anziché brevi.