Trojanec DNSChanger spremeni DNS nastavitve računalnika in je napadalcem omogočil preusmerjanje prometa na vmesne strežnike, kjer so lahko prestrezali komunikacijo okuženih računalnikov. FBI je novembra 2011, po dveletni akciji s sodelovanjem estonske policije, dosegel aretacijo šestih estonskih državljanov, ki so s pomočjo trojanca zgradili večmilijonsko omrežje okuženih računalnikov. DNS strežniki so prešli pod nadzor FBI, vendar pa to ni odpravilo okužb. Po izklopu strežnikov 9. julija 2012 bodo okuženi uporabniki imeli težave pri dostopu do interneta.

Okuženi sistemi tudi v Sloveniji

Novembra 2011 je bilo z zlonamernim programom DNSChanger okuženih že približno 4 milijone računalnikov v več kot 100 državah. Sedaj je po svetu, po podatkih DNSChanger Working Group (www.dcwg.org), še nekaj čez 300.000 okuženih sistemov. Po podatkih SI-CERT je bilo v obdobju od novembra 2011 do junija 2012 v Sloveniji 76.000 različnih IP naslovov, ki so kazali znake okužbe. Nekaj računalnikov je medtem že bilo očiščenih, posamezen okužen računalnik lahko skozi daljše obdobje uporablja več IP naslovov, zato je seveda dejansko število okuženih računalnikov manjše. V zadnjem tednu je SI-CERT prejel podatke o 1300 okuženih sistemih, v celotnem mesecu juniju pa so našteli že kar 6400 različnih okuženih IP naslovov. Nekateri so morda medtem že odstranili okužbo, vsem pa vseeno priporočajo obisk spletne strani dns-ok.si, kjer lahko uporabniki hitro preverijo, ali je njihov računalnik okužen. Podatke o okuženih IP naslovih bo SI-CERT poslal neposredno vsem slovenskim internetnim ponudnikom, da bodo lahko svoje naročnike obvestili o okužbi.

Kaj storiti v primeru okužbe?

Na spodnjem spisku najdete seznam programov, ki lahko trojanca odstranijo. Ker obstaja več različic DNSChanger trojanca, ni nujno, da posamezni program zna odstraniti vse. V tem primeru vam svetujemo naslednji postopek:

1. Namestite enega od spodnjih programov.
2. Sledite navodilom za namestitev in zagon programa. Nekateri programi svetujejo pregled celotnega računalnika, kar je priporočen ukrep.
3. Ponovno zaženite računalnik
4. Obiščite spletno stran dns-ok.si, da preverite ali je DNSChanger trojanec še vedno aktiven na vašem računalniku.
5. Če je okužba še vedno prisotna, izberite drug program za odstranjevanje trojanca.

Programi za Microsoft Windows
Prenesite Microsoft Safety Scanner
Prenesite Hitman Pro 3.6
Prenesite Avira DNS Repair
Prenesite FixTDSS (Symantec)
Prenesite TDFFKiller (Kaspersky)

Program za Mac OS X
Prenesite MacScan DNSChanger Removal Tool

Če odstranjevanje po zgoraj opisanem postopku ni uspelo, preverite nastavitve svojega usmerjevalnika. Nekatere različice DNSChanger trojanca so namreč znale spremeniti nastavitve domačega usmerjevalnika in tako izpostavile vse naprave (računalniki, mobilni telefoni, tiskalniki), ki preko njega dostopajo na internet. Med nastavitvami poiščite DNS strežnike in preverite, ali IP naslovi teh ustrezajo tistim, ki jih priporoča vaš ponudnik. Če so bili zapisi spremenjeni, jih popravite in zopet obiščite spletno stran dns-ok.si. Za pomoč pri preverjanju in spreminjanju DNS nastavitev na domačem usmerjevalniku se obrnite na svojega ponudnika.

Če nastavitve usmerjevalnika niso bile spremenjene, bo morda potrebna ponovna namestitev računalnika. Pred tem naredite varnostno kopijo pomembnih dokumentov.

vir: SI-CERT