¿Cómo funciona la detección de malware de DNS Changer?

4

Este malware dirige a su computadora para que use servidores DNS bajo el control de los badguys. Estos servidores DNS fueron tomados por el FBI. Fueron reemplazados por otros limpios para evitar la interrupción del servicio, pero este servicio financiado por los contribuyentes se suspenderá el 9 de julio .

Los sitios como Google y dns-ok.us tienen alguna forma de saber si está infectado con el malware DNS Changer, por lo que puedo advertirle, ayudarlo a solucionar el problema para que no pierda Internet cuando llegue el 9 de julio.

¿Tengo razón al suponer que usan el siguiente modelo para detectar esto?

  1. Los servidores DNS que reemplazó el FBI buscan la dirección IP para un dominio de ejemplo. (como dns-ok.us)
  2. Los servidores DNS dns-ok saben si este es uno de esos servidores sustituidos por el DNS Changeer / FBI. Si es así, proporciona la dirección IP para los visitantes infectados, de lo contrario, proporciona la dirección para visitantes limpios.
  3. Al usar la dirección IP de destino de la solicitud entrante, la página web puede saber si mostrar el mensaje "estás infectado".

Esto requeriría separar uno de los siguientes para limpiar vs no limpiar

  • servidores separados
  • Interfaces de red separadas (físicas o virtuales, el punto es tener direcciones IP separadas)
  • Un enrutador con un reenvío de puerto diferente para cada uno de los dos (tipos de) direcciones IP.

¿O hay una solución más elegante que están usando? ¿O está involucrada la cooperación del FBI?

    
pregunta George Bailey 07.06.2012 - 19:40
fuente

2 respuestas

3

Todo esto depende de la resolución del DNS. Si la solicitud pasa por el 'buen servidor', aparecerá la página verde. Si la configuración es incorrecta, aparecerá la página roja.

Puedes verificar la configuración de tu DNS escribiendo ipconfig /all en tu línea de comando. Aquí puede ver la lista de configuraciones incorrectas ".

Para comprobar cómo funciona, puedes usar nslookup .

nslookup dns-ok.us 8.8.8.8 : este devuelve Address: 38.68.193.96 y el tráfico pasa por el "buen servidor".

nslookup dns-ok.us 64.28.176.0 : este devuelve Address: 38.68.193.97 y el tráfico pasa por el 'servidor incorrecto' (de la lista enlazada).

Ahora escribe esa dirección en tu barra de URL: %código% %código% y compara los resultados.

    
respondido por el p____h 07.06.2012 - 20:01
fuente
0

Los servidores DNS de Google y "dns-ok.us" pueden detectar consultas provenientes de la dirección IP incorrecta del servidor DNS (usando una vista de "coincidencia de cliente" en el software BIND). En las consultas coincidentes, las respuestas se modifican para proporcionar una dirección IP para un servidor web que muestra el mensaje de advertencia, en lugar del servidor web normal.

Por ejemplo: dig www.google.com @64.28.176.0 muestra:

www.google.com.         334428  IN      CNAME   www.l.google.com.
www.l.google.com.       229     IN      CNAME   www-infected.l.google.com.
www-infected.l.google.com. 226  IN      A       216.239.32.6
    
respondido por el Jez 15.06.2012 - 04:50
fuente

Lea otras preguntas en las etiquetas