近日資訊保安新聞報導了美國聯邦調查局 (FBI) 將會在 7月9日 關閉與DNSChanger 殭屍網絡 (Botnet)有關的域名伺服器 (DNS - 備註 1),究竟這次事件對互聯網使用者構成什麼影響?香港電腦保安事故協調中心(HKCERT)藉此介紹 DNSChanger 背景資料、感染的檢查方法和處理方案,希望受影響的用戶可以及時處理。 |
![]() |
背景
DNSChanger 殭屍網絡的惡意程式至今已有超過 2000 個 變種(參考 1) ,現時統計全球有超過400萬台電腦受感染,影響 100多個國家。這個殭屍網絡據稱自2007年起由一間位於愛沙尼亞的IT公司 "Rove Digital"運作,直至2011年幕後主腦被逮捕為止(參考 2)。 |
感染DNSChanger會有甚麼影響?
DNSChanger 惡意程式主要透過使用者訪問特定網站或下載線上影片觀看軟件時進行感染,DNSChanger 惡意程式感染電腦後,會偷偷地修改電腦上的域名伺服器設定,指向由犯罪集團所建立域名伺服器,完全控制 DNS 解析甚麼IP 地址。因此,犯罪集團可以利用DNSChanger殭屍網絡令使用者在不自覺的情況下訪問特定網站,包括更換使用者所訪問的網站廣告,進行點擊詐欺或是植 入其他惡意軟件等。 |
![]() |
![]() |
為什麼是7月9日?
2011年11月,FBI在代號「Operation Ghost Click」 (參考 3) 的行動當中,成功關閉DNSChanger 殭屍網絡。根據法庭頒令,為了避免受感染的電腦與互聯網即時失去連絡,授權FBI設立多部臨時域名伺服器來維持域名查詢服務,讓受害者在 120 日內處理這個問題。這個頒令將於2012年7月9日屆滿,如果FBI決定按時關閉這些臨時域名伺服器,全球數以百萬計的DNSChanger殭屍電腦便無 法連接互聯網。要處理好這個問題,應盡快協助受害者清理惡意軟件。 |
如何知道是否受影響?
DNSChanger 惡意程式會感染微軟視窗和蘋果 Mac OS X作業系統,亦會嘗試入侵使用了預設登入名稱和密碼的小型辨公室或家用寬頻路由器等,更改域名伺服器設定。要檢查你的電腦或寬頻路由器是否受影響,你可以使用以下兩種方法:
方法 - 使用DCWG EyeChart:
開啟網頁瀏頁瀏覽器(例如:Internet Explorer, Firefox, Chrome, Safari) ,訪問 DNS Changer Working Group (DCWG) (參考 4) 提供的其中一個測試網站:
![]() 如果檢查結果是綠色,表示正常。 |
![]() 如果檢查結果是紅色,表示你的電腦或寬頻路由器的域名伺服器設定指向了已知有問題的伺服器。建議依照下面「如何處理受感染的電腦和寬頻路由器」作詳細檢查。 |
寬頻路由器
若要檢查寬頻路由器的域名伺服器的 IP 地址,請參考供應商提供的說明文件。
如何處理受感染的電腦和寬頻路由器?
電腦
- 建議受感染電腦的域名伺服器的設定還原成自動取得。請聯絡你的網絡供應商或公司 IT 管理員提供協助。
- 由於感染了 DNSChanger 的電腦可能會無法進行系統更新和保安軟件的資料庫更新,導致系統保安防護降低而可能感染其他惡意程式,所以你需要為電腦進行完整的惡意程式檢查。
-
微軟視窗
你可以使用HKCERT 網頁內列出免費的惡意程式掃瞄器 (在線版) 網址為你的電腦進行檢查和清理。
https://www.hkcert.org/security-tools
-
蘋果 Mac OS X
你可以安裝以下免費的惡意程式掃瞄器為你的電腦進行檢查和清理。
http://download.cnet.com/mac/antivirus-software/?filter=licenseName%3DFree
-
- 清除後,請使用上述的檢查方法再次檢查域名伺服器的設定是否正常。
寬頻路由器
關閉寬頻路由器從新開啟,建議依照供應商提供的說明文件,重設域名伺服器的設定和變更預設的管理帳戶密碼。
參考:
- http://www.paloaltonetworks.com/researchcenter/2012/02/dnschanger-rogue-dns-servers-taken-down/
- http://tw.trendmicro.com/tw/threats/vinfo/weeknews/article/20111118074159.html
- http://www.fbi.gov/news/stories/2011/november/malware_110911
- http://www.dcwg.net
備註:
- DNS(域名解析系統) – 將域名和IP位址相互映射的一個分布式資料庫,能夠使人更方便的訪問互聯網,而不用牢記複雜難記的IP地址。