FBI verlengt beheer dns-servers voor voormalige botnet-pc's

De vervangende dns-servers die de FBI in beheer had, na het oprollen van een Ests botnet begin november, blijven nog tot negen juni online. Zonder die servers zouden mogelijk meer dan 400.000 pc's wereldwijd zonder internet komen te zitten.

Malware / Virus / Spyware / AdwareHet mandaat van de FBI om de vervangende dns-servers te beheren is verlengd tot negen juni. De organisatie kreeg aanvankelijk toestemming om de systemen tot acht maart in beheer te houden, maar heeft met succes een verlenging aangevraagd. De legale status van de toekenning van die botnetadressen aan de FBI was onzeker.

Toen de FBI het botnet neerhaalde, verving ze de malafide dns-servers door dns-servers in eigen beheer. Zo konden de getroffen pc's toch op internet. Daar zou nu binnenkort een einde aan komen, maar er zijn nog steeds meer dan 400.000 pc's die gebruik maken van de dns-servers. De betrokken instanties willen de eigenaars eerst bewust maken van het probleem.

De malware, genaamd w32/dnschanger leidde al het verkeer op de getroffen computers om naar servers in beheer van de botneteigenaars, door de adressen van gebruikte dns-servers op de pc's aan te passen. Zo konden zij verkeer omleiden naar malafide websites of eigen advertenties injecteren op bezochte webpagina's. Daarmee verdienden ze minstens 14 miljoen dollar volgens de FBI.

dnschanger infecties

Door Adrian Buyssens

Feedback • 06-03-2012 17:44 35

06-03-2012 • 17:44

35

Lees meer

RIPE NCC verliest zaak tegen Staat over bevriezen ip-adressen botnet
RIPE NCC verliest zaak tegen Staat over bevriezen ip-adressen botnet Nieuws van 14 februari 2013
Amerikaanse botnetbeheerder krijgt 30 maanden cel
Amerikaanse botnetbeheerder krijgt 30 maanden cel Nieuws van 7 september 2012
Stoppen dns-server door FBI haalt 1400 Nederlandse pc's offline
Stoppen dns-server door FBI haalt 1400 Nederlandse pc's offline Nieuws van 9 juli 2012
Nieuwe FBI-divisie gaat onlinecommunicatie afluisteren
Nieuwe FBI-divisie gaat onlinecommunicatie afluisteren Nieuws van 24 mei 2012
FBI wil Facebook en Skype verplichten afluisteren mogelijk te maken
FBI wil Facebook en Skype verplichten afluisteren mogelijk te maken Nieuws van 4 mei 2012
VS gaat verdachten zonder gerechtelijk bevel via gsm-masten volgen
VS gaat verdachten zonder gerechtelijk bevel via gsm-masten volgen Nieuws van 1 april 2012
'RIPE klaagt KLPD aan om ip-blokkade'
'RIPE klaagt KLPD aan om ip-blokkade' Nieuws van 16 november 2011
Estse botnetbeheerders hadden server in Nederland
Estse botnetbeheerders hadden server in Nederland Nieuws van 12 november 2011
Politie blokkeert ip-adressen botnetbeheerders
Politie blokkeert ip-adressen botnetbeheerders Nieuws van 10 november 2011
FBI rolt megabotnet op met hulp van KLPD
FBI rolt megabotnet op met hulp van KLPD Nieuws van 9 november 2011
Meer producten en artikelen
Privacy Politiek en recht Beveiliging Dns Malware Politie

Reacties (35)

-Moderatie-faq
35
35
18
3
0
9
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 6 maart 2012 20:04
Bezoek www.dns-ok.be om te zien of je DNS-server instellingen goed staan.

Mocht je vroeger besmet zijn geweest met malware dan bestaat de kans dat je DNS-server instellingen nog verkeerd staan want antivirus pakketten verwijderen de malware wel maar herstellen de DNS instellingen niet.

Een bezoek aan www.dns-ok.be zal vertellen of je nog een foutieve DNS instelling hebt.
ChiLLeR @Verwijderd7 maart 2012 00:56
uhm hoe kan je hier nou mee zien of je DNS goed staat? Die DNS changer kan die pagina toch gewoon doorverwijzen naar een host waarop ze deze pagina nagemaakt hebben?

Enige optie is dus een adres geven met alleen een IP adres, dan omzeil je daadwerkelijk de lokale DNS instellingen.

[Reactie gewijzigd door ChiLLeR op 22 juli 2024 15:14]

gerwim @ChiLLeR7 maart 2012 09:49
De servers van de FBI geven een ander IP adres door voor de website www.dns-ok.be. Je kunt dit "faken" door het bestand C:\Windows\system32\drivers\etc\hosts aan te passen en de volgende regel erin te zetten:
193.190.198.222 www.dns-ok.be
Wanneer je nu naar www.dns-ok.be gaat, zul je zien dat je pc "besmet" is. De juiste servers geven het IP 193.190.198.221 door, terwijl de FBI servers 193.190.198.222 doorgeven.

[Reactie gewijzigd door gerwim op 22 juli 2024 15:14]

mebrein 6 maart 2012 17:48
400.000 pc's met malware. Grote kans dat deze PC's besmet zijn met andere malware. Misschien toch verstandiger die DNS eruit te trekken? Gevalletje 'voor eigen bestwil'.
__fred__ @mebrein6 maart 2012 17:55
Of elke query redirecten naar een pagina met informatie en een download van anti-malware software. Dat lijkt me prima mogelijk.
bogy @__fred__6 maart 2012 18:05
jah, en we leren juist iedereen aan om niet zomaar te geloven dat je pc besmet is met virussen en malware als een website dat zegt ....

maw; gewoon stekker eruit is het beste, dan gaan die mensen door hebben dat er een probleem is en zullen ze ineens recoveren/herinstalleren/pc binnendoen/iemand laten langskomen/...
jecede @bogy6 maart 2012 22:18
vast niet alle 400.000 pc's zijn huis tuin en keuken systemen. Door ineens de stekker eruit te trekken lijkt mij de kans dat er grotere problemen onstaan ook vrij groot. Door dit nog even te rekken geef je toch systeembeheerders de tijd om hun systemen te controleren?
latka @jecede6 maart 2012 22:42
Je bedoelt incompetentie verhullen? Als je als admin dit laat gebeuren kun je beter iets anders gaan doen.
SgtElPotato @__fred__6 maart 2012 18:03
En dan niet zon bijna spam pagina die je veelal tegen komt, daar klikken de mensen ook bijna niet meer op..
Als je de DNs eruit trekt denken ze he ik heb geen internet, en dan komt van zelf de computerboer of familielid erachter dat er malware opzit...
mebrein @__fred__6 maart 2012 18:04
Inderdaad, dit is veel vriendelijker dan deze fake DNS eruittrekken.
silverches @mebrein6 maart 2012 17:53
En dan die getroffen mensen dan niet meer op internet laten?
tjibbedehaan @silverches6 maart 2012 17:56
Op die manier hebben de getroffen mensen wel door dat er iets met het systeem aan de hand is en gaan hulp zoeken.
mebrein @tjibbedehaan6 maart 2012 18:02
Dat is inderdaad waar ik op doel. Maar er is nog een eenvoudiger optie: gewoon de mensen doorsturen naar een internetpagina waarop staat dat hun pc geïnfecteerd is. De eerste keer dat ze de browser opstarten weet je dan hoe laat het is.
Shamalamadindon @mebrein6 maart 2012 18:07
idd, dan denken ze "godver ik heb een virus en die laat me een nep pagina zien van de FBI"
field33P @Shamalamadindon6 maart 2012 18:34
zelfs als het een neppagina is trekt het aandacht.
guapper @field33P7 maart 2012 09:01
Maar vervolgens klikken ze die pagina weg en doen hun ding.
1 klik per sessie zet veel mensen nu eenmaal niet in beweging; niet urgent genoeg.
freaky @guapper7 maart 2012 13:48
Ja maar als al je DNS records naar die pagina wijzen kom je nergens anders meer. En dan is het wel degelijk urgent genoeg, let maar op.
Nickvda @Shamalamadindon7 maart 2012 09:35
'Hoe kom ik op die pagina? Zal wel iets niet in orde zijn..'
boelensman1 @mebrein6 maart 2012 18:47
Mensen die allemaal malware op hun systeem hebben zitten gaan duidelijk geen hulp zoeken bij dit soort pagina's. Met allerlij malware zie je dit soort pagina's meerdere keren per dag.

Je weet wel van die online-virusscanners die honderde dingen vinden, gelukkig hoef je alleen de aangeboden executable zogenaamd van microsoft uit te voeren om de boel te fixen.
Gomez12 @boelensman16 maart 2012 21:32
Honderden keren per dag is niet gelijkwaardig aan enkel die pagina's tonen.

Simpelweg niets anders dan 2 pagina's voorschotelen (1 met uitleg, 1 met dl-links naar correctie-tools), dan valt er niets meer te negeren. Dan is de keus enkel maar een dl-link uitvoeren of zelfstandig de dns veranderen.
J.J.J. Bokma @tjibbedehaan6 maart 2012 18:45
Ja, en een maand later zit het merendeel weer in een botnet, want de aangeboden oplossingen zit "in de weg".
Whatson @silverches6 maart 2012 17:55
inderdaad. Deze mensen gaan dan toch op zoek naar hulp en dan zijn ze tenminste verlost van (alle) malware die op hun computer aanwezig is.
dasiro @silverches6 maart 2012 18:35
domme mensen hun fucked up computer in de lucht houden? Die moeten hem dan maar laten herstellen op eigen kosten
rxr1991 6 maart 2012 18:16
Ik vind het een slechte zaak dat ze het in beheer mogen houden. Als een onbekende instantie het niet mag waarom een instantie als de FBI dan wel. De kortste klap is gewoon de dns server onbereikbaar maken. Wie garandeert nu dat de FBI er enkel legitieme diensten faciliteert. Dit kan ook bij uitstek een geweldige optie te zijn om 400.000 mensen te monitoren.

Ook ben ik benieuwd waarom dit is goed gekeurd. Zijn 400.000 mensen te veel. Wat is de grens, wanneer mag de dns dienst plat. Als niemand het meer gebruikt? Ik vind het een vage toestand. Snap niet waarom het gedaan wordt en wat nut het heeft om het intact te houden.

ik ken de genoemde spyware niet maar als de deur openstaat. Wie weet wat de spyware nog meer toestaat. Zijn de 425,000 mensen die de malafide dns server niet meer gebruiken nu over gestapt op een legitieme dns server of zijn ze door de zelfde spyware met een ander dns server geïnjecteerd.

Dit verhaal is niet bedoeld als complot theorie maar gewoon om duidelijk te maken dat ik het een rare zaak vindt en een niet logische oplossing.
J.J.J. Bokma @rxr19916 maart 2012 19:08
Wat ik mij kan voorstellen, is dat het botnet bij wegvallen DNS naar een andere DNS op zoek gaat. Dus dan heeft het zin om de DNS en over te nemen, en te laten bestaan (anders loopt het botnet gewoon weg).
switchboy 6 maart 2012 18:01
DNS door laten verwijzen naar removal tooltje. Zo lastig is dat toch niet?
J.J.J. Bokma @switchboy6 maart 2012 18:46
Zie ook boven. Hoe weet je als gebruiker dat het echt is, en niet malware, die je doorstuurt naar een "removal tooltje" met nog meer malware?
djwice @J.J.J. Bokma6 maart 2012 20:28
Hmm.. in Nederland zou het volgende vast niet mogen, maar .., eh als Amerikaan mag het vast: als de computer is geïnfecteerd, en je kan er bij, waarom dat niet een oplossing injecteren zoals [b]switschboy[/b] adviseerd, gewoon zelf laten runnen, niets vragen om toestemming :) - fixen omdat je ziet dat het slot kapot is, dat idee.

[Reactie gewijzigd door djwice op 22 juli 2024 15:14]

Durandal @djwice6 maart 2012 20:47
En dan krijg je een rechtzaak aan je broek omdat je iemand's PC veranderd hebt zonder toestemming, gewoon, omdat het kan daar in america.
Gomez12 @djwice6 maart 2012 21:35
Schrijf jij dat tooltje even? Wat dus buiten de sandbox van elke browser treedt, op elk OS, zonder dat er interventie van de gebruiker nodig is?
Browsermakers / virusscanners zijn er al jarenlang mee bezig om die zooi te stoppen, maar ik begrijp dat jij het zomaar even schrijft?
djwice @Gomez1214 maart 2012 22:31
We hebben het hier over PC's die al slaaf zijn van een bodnet. Dat betekend dat ze dus al een gat hebben waardoor je naar binnen komt én de volledige controle krijgt.

Het gaat hier niet om PC's met de laatste patches, virus scanners en 100% clean..
Het gaat ook niet om "elk OS" en "elke PC" het gaat om het gros van de 100.000-den PC's. Om een voorbeeld te geven: dat zijn meestal Windows XP bakken met een oudere MSIE versie.

[Reactie gewijzigd door djwice op 22 juli 2024 15:14]

T-Forever 6 maart 2012 18:14
Toen de FBI het botnet neerhaalde, verving ze de malafide dns-servers door dns-servers in eigen beheer. Zo konden de getroffen pc's toch op internet

ehh pardon? wat maken hun zich nu zorgen of mensen wel of niet het internet op kunnen, lukt t niet bellen ze een helpdesk of gaan ze langs een bedrijfje wat weer goed voor de economie is.

Lijkt me dan dat er ook hele andere motieven zijn ;)
NotSoSteady 6 maart 2012 18:02
Gaat de FBI nu ook al rekening houden met mensen die hun systeem niet voldoende beveiligen? |:(
j-phone 6 maart 2012 18:09
Het is wel makkelijk voor de FBI om data te verzamelen en doorzoeken zonder gerechtelijk bevel. Op de één of andere manier moeten die DNS servers dus een toegevoegde waarde hebben voor de FBI. Je hebt zonder problemen de mensen te pakken die naar TPB surfen bijvoorbeeld.
Gomez12 6 maart 2012 21:37
Na hoelang komen die die ip-adressen trouwens weer in de vrije verkoop als de FBI ze opgeeft? Want anders zit er morgen weer een nep-dns op die ip-adressen...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq