Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 35, views: 16.587 •

De vervangende dns-servers die de FBI in beheer had, na het oprollen van een Ests botnet begin november, blijven nog tot negen juni online. Zonder die servers zouden mogelijk meer dan 400.000 pc's wereldwijd zonder internet komen te zitten.

Malware / Virus / Spyware / AdwareHet mandaat van de FBI om de vervangende dns-servers te beheren is verlengd tot negen juni. De organisatie kreeg aanvankelijk toestemming om de systemen tot acht maart in beheer te houden, maar heeft met succes een verlenging aangevraagd. De legale status van de toekenning van die botnetadressen aan de FBI was onzeker.

Toen de FBI het botnet neerhaalde, verving ze de malafide dns-servers door dns-servers in eigen beheer. Zo konden de getroffen pc's toch op internet. Daar zou nu binnenkort een einde aan komen, maar er zijn nog steeds meer dan 400.000 pc's die gebruik maken van de dns-servers. De betrokken instanties willen de eigenaars eerst bewust maken van het probleem.

De malware, genaamd w32/dnschanger leidde al het verkeer op de getroffen computers om naar servers in beheer van de botneteigenaars, door de adressen van gebruikte dns-servers op de pc's aan te passen. Zo konden zij verkeer omleiden naar malafide websites of eigen advertenties injecteren op bezochte webpagina's. Daarmee verdienden ze minstens 14 miljoen dollar volgens de FBI.

dnschanger infecties

Reacties (35)

400.000 pc's met malware. Grote kans dat deze PC's besmet zijn met andere malware. Misschien toch verstandiger die DNS eruit te trekken? Gevalletje 'voor eigen bestwil'.
En dan die getroffen mensen dan niet meer op internet laten?
inderdaad. Deze mensen gaan dan toch op zoek naar hulp en dan zijn ze tenminste verlost van (alle) malware die op hun computer aanwezig is.
Op die manier hebben de getroffen mensen wel door dat er iets met het systeem aan de hand is en gaan hulp zoeken.
Dat is inderdaad waar ik op doel. Maar er is nog een eenvoudiger optie: gewoon de mensen doorsturen naar een internetpagina waarop staat dat hun pc ge´nfecteerd is. De eerste keer dat ze de browser opstarten weet je dan hoe laat het is.
idd, dan denken ze "godver ik heb een virus en die laat me een nep pagina zien van de FBI"
zelfs als het een neppagina is trekt het aandacht.
Maar vervolgens klikken ze die pagina weg en doen hun ding.
1 klik per sessie zet veel mensen nu eenmaal niet in beweging; niet urgent genoeg.
Ja maar als al je DNS records naar die pagina wijzen kom je nergens anders meer. En dan is het wel degelijk urgent genoeg, let maar op.
'Hoe kom ik op die pagina? Zal wel iets niet in orde zijn..'
Mensen die allemaal malware op hun systeem hebben zitten gaan duidelijk geen hulp zoeken bij dit soort pagina's. Met allerlij malware zie je dit soort pagina's meerdere keren per dag.

Je weet wel van die online-virusscanners die honderde dingen vinden, gelukkig hoef je alleen de aangeboden executable zogenaamd van microsoft uit te voeren om de boel te fixen.
Honderden keren per dag is niet gelijkwaardig aan enkel die pagina's tonen.

Simpelweg niets anders dan 2 pagina's voorschotelen (1 met uitleg, 1 met dl-links naar correctie-tools), dan valt er niets meer te negeren. Dan is de keus enkel maar een dl-link uitvoeren of zelfstandig de dns veranderen.
Ja, en een maand later zit het merendeel weer in een botnet, want de aangeboden oplossingen zit "in de weg".
domme mensen hun fucked up computer in de lucht houden? Die moeten hem dan maar laten herstellen op eigen kosten
Of elke query redirecten naar een pagina met informatie en een download van anti-malware software. Dat lijkt me prima mogelijk.
En dan niet zon bijna spam pagina die je veelal tegen komt, daar klikken de mensen ook bijna niet meer op..
Als je de DNs eruit trekt denken ze he ik heb geen internet, en dan komt van zelf de computerboer of familielid erachter dat er malware opzit...
Inderdaad, dit is veel vriendelijker dan deze fake DNS eruittrekken.
jah, en we leren juist iedereen aan om niet zomaar te geloven dat je pc besmet is met virussen en malware als een website dat zegt ....

maw; gewoon stekker eruit is het beste, dan gaan die mensen door hebben dat er een probleem is en zullen ze ineens recoveren/herinstalleren/pc binnendoen/iemand laten langskomen/...
vast niet alle 400.000 pc's zijn huis tuin en keuken systemen. Door ineens de stekker eruit te trekken lijkt mij de kans dat er grotere problemen onstaan ook vrij groot. Door dit nog even te rekken geef je toch systeembeheerders de tijd om hun systemen te controleren?
Je bedoelt incompetentie verhullen? Als je als admin dit laat gebeuren kun je beter iets anders gaan doen.
DNS door laten verwijzen naar removal tooltje. Zo lastig is dat toch niet?
Zie ook boven. Hoe weet je als gebruiker dat het echt is, en niet malware, die je doorstuurt naar een "removal tooltje" met nog meer malware?
Hmm.. in Nederland zou het volgende vast niet mogen, maar .., eh als Amerikaan mag het vast: als de computer is ge´nfecteerd, en je kan er bij, waarom dat niet een oplossing injecteren zoals switschboy adviseerd, gewoon zelf laten runnen, niets vragen om toestemming :) - fixen omdat je ziet dat het slot kapot is, dat idee.

[Reactie gewijzigd door djwice op 6 maart 2012 20:32]

En dan krijg je een rechtzaak aan je broek omdat je iemand's PC veranderd hebt zonder toestemming, gewoon, omdat het kan daar in america.
Schrijf jij dat tooltje even? Wat dus buiten de sandbox van elke browser treedt, op elk OS, zonder dat er interventie van de gebruiker nodig is?
Browsermakers / virusscanners zijn er al jarenlang mee bezig om die zooi te stoppen, maar ik begrijp dat jij het zomaar even schrijft?
We hebben het hier over PC's die al slaaf zijn van een bodnet. Dat betekend dat ze dus al een gat hebben waardoor je naar binnen komt Ún de volledige controle krijgt.

Het gaat hier niet om PC's met de laatste patches, virus scanners en 100% clean..
Het gaat ook niet om "elk OS" en "elke PC" het gaat om het gros van de 100.000-den PC's. Om een voorbeeld te geven: dat zijn meestal Windows XP bakken met een oudere MSIE versie.

[Reactie gewijzigd door djwice op 14 maart 2012 22:32]

Gaat de FBI nu ook al rekening houden met mensen die hun systeem niet voldoende beveiligen? |:(
Het is wel makkelijk voor de FBI om data te verzamelen en doorzoeken zonder gerechtelijk bevel. Op de ÚÚn of andere manier moeten die DNS servers dus een toegevoegde waarde hebben voor de FBI. Je hebt zonder problemen de mensen te pakken die naar TPB surfen bijvoorbeeld.
Toen de FBI het botnet neerhaalde, verving ze de malafide dns-servers door dns-servers in eigen beheer. Zo konden de getroffen pc's toch op internet

ehh pardon? wat maken hun zich nu zorgen of mensen wel of niet het internet op kunnen, lukt t niet bellen ze een helpdesk of gaan ze langs een bedrijfje wat weer goed voor de economie is.

Lijkt me dan dat er ook hele andere motieven zijn ;)
Ik vind het een slechte zaak dat ze het in beheer mogen houden. Als een onbekende instantie het niet mag waarom een instantie als de FBI dan wel. De kortste klap is gewoon de dns server onbereikbaar maken. Wie garandeert nu dat de FBI er enkel legitieme diensten faciliteert. Dit kan ook bij uitstek een geweldige optie te zijn om 400.000 mensen te monitoren.

Ook ben ik benieuwd waarom dit is goed gekeurd. Zijn 400.000 mensen te veel. Wat is de grens, wanneer mag de dns dienst plat. Als niemand het meer gebruikt? Ik vind het een vage toestand. Snap niet waarom het gedaan wordt en wat nut het heeft om het intact te houden.

ik ken de genoemde spyware niet maar als de deur openstaat. Wie weet wat de spyware nog meer toestaat. Zijn de 425,000 mensen die de malafide dns server niet meer gebruiken nu over gestapt op een legitieme dns server of zijn ze door de zelfde spyware met een ander dns server ge´njecteerd.

Dit verhaal is niet bedoeld als complot theorie maar gewoon om duidelijk te maken dat ik het een rare zaak vindt en een niet logische oplossing.
Wat ik mij kan voorstellen, is dat het botnet bij wegvallen DNS naar een andere DNS op zoek gaat. Dus dan heeft het zin om de DNS en over te nemen, en te laten bestaan (anders loopt het botnet gewoon weg).
Bezoek www.dns-ok.be om te zien of je DNS-server instellingen goed staan.

Mocht je vroeger besmet zijn geweest met malware dan bestaat de kans dat je DNS-server instellingen nog verkeerd staan want antivirus pakketten verwijderen de malware wel maar herstellen de DNS instellingen niet.

Een bezoek aan www.dns-ok.be zal vertellen of je nog een foutieve DNS instelling hebt.
uhm hoe kan je hier nou mee zien of je DNS goed staat? Die DNS changer kan die pagina toch gewoon doorverwijzen naar een host waarop ze deze pagina nagemaakt hebben?

Enige optie is dus een adres geven met alleen een IP adres, dan omzeil je daadwerkelijk de lokale DNS instellingen.

[Reactie gewijzigd door ChiLLeR op 7 maart 2012 00:57]

De servers van de FBI geven een ander IP adres door voor de website www.dns-ok.be. Je kunt dit "faken" door het bestand C:\Windows\system32\drivers\etc\hosts aan te passen en de volgende regel erin te zetten:
193.190.198.222 www.dns-ok.be
Wanneer je nu naar www.dns-ok.be gaat, zul je zien dat je pc "besmet" is. De juiste servers geven het IP 193.190.198.221 door, terwijl de FBI servers 193.190.198.222 doorgeven.

[Reactie gewijzigd door gerwim op 7 maart 2012 09:49]

Na hoelang komen die die ip-adressen trouwens weer in de vrije verkoop als de FBI ze opgeeft? Want anders zit er morgen weer een nep-dns op die ip-adressen...

Op dit item kan niet meer gereageerd worden.