Nous avons lancé aujourd'hui un
site Web de test pour vérifier automatiquement et simplement l'éventuelle compromission de votre machine par un cheval de Troie connu sous le nom de
DNSChanger.
A l'instar du test en ligne créé pour vérifier une infection éventuelle par le malware Conficker, chaque internaute peut se rendre sur le site dns-ok.fr pour vérifier "visuellement" si sa machine est compromise par DNSChanger.
Le test ne requiert aucune manipulation de la part de l'utilisateur et n'est pas intrusif. En effet, un ordinateur compromis aura par défaut sa configuration DNS normale modifiée par le malware et remplacée par une configuration DNS opérée par les pirates. Ceci leur permettait de contrôler intégralement la navigation sur Internet de la machine et au passage de générer des millions de $$ de profits via :
- des publicités non sollicitées,
- des commissions sur de la génération ou redirection de trafic vers des sites spécifiques,
- la "location" du botnet pour téléchargement de nouveaux malwares,
etc.
Ces ordinateurs "zombies" étaient ainsi pilotés jusqu'au 9 novembre dernier, date à laquelle la justice américaine lança une opération de grande envergure contre les cybercriminels opérant ce réseau de machines infectées. L'opération baptisée "Ghost Click" fut l'aboutissement d'une investigation de plus de deux ans. Elle a permis d'arrêter la plus grande partie du gang opérant ce botnet géant.
La justice a aussi ordonné :
- que les classes d'adresses IP attribuées et utilisées par les pirates soient gelées,
- que l'ISC opère un serveur DNS sain "de remplacement" pour ces classes d'adresses.
Cette précaution était nécessaire afin d'éviter que les nombreuses machines encore infectées au 9 novembre ne soient plus en mesure de se connecter à Internet (c'est à dire de résoudre des noms de domaine). L'ISC identifie donc en temps réel les machines émettant des requêtes via les DNS sur lesquels ils ont désormais la main. Dans ce cadre, l'ISC redirigera une requête en direction de "dns-ok.fr" vers une adresse IP spécifique, via une fonctionnalité de BIND appelée DNS RPZ comme le montre les résolutions différentes de "dns-ok.fr" selon qu'on passe par un serveur DNS spécifique de type DNSChanger.
Ainsi, avec un serveur DNS dont l'adresse IP était attribuée à un serveur DNS opéré par DNSChanger :
dig +short dns-ok.fr. A @213.109.64.149
88.191.224.XXX
Dès lors, une page présentant le message d'alerte suivant sera affichée, signalant une probable compromission :
Alors que le serveur DNS publique de Google renvoie :
dig +short dns-ok.fr. A @8.8.8.8
88.191.223.145
Dans ce cas, l'internaute sera redirigé vers le contenu suivant :
Pour être fonctionnel, le test impose qu'aucun proxy Web ne soit configuré, ce qui limite les tests depuis les réseaux internes des entreprises au sein desquels un proxy pour la navigation de l'ensemble des employés est souvent configuré.
Ce test fait partie des stratégies initiées pour nettoyer un maximum de machines compromises par DNSChanger. Cet effort international est coordonné par le
DNSChanger Working Group, un groupe de travail composé notamment de forces de l'ordre, éditeurs anti-virus et équipes de réponse à incident informatique (CERT).
Les actions menées comprennent notamment la sensibilisation à cette menace par :
- la création de sites de test multilingues tels que www.dns-ok.fr pour permettre aux internautes de vérifier s'ils sont infectés ou non :
- http://dns-ok.be
- http://dns-ok.de
- http://dns-ok.us
- http://dns-ok.fi
- ...
- l'envoi de notifications directes aux détenteurs des adresses IP (opérateur télécom, entreprise, administration, etc.) identifiées par le serveur DNS de remplacement l'ISC.
Au 10 février, plus de 400,000 adresses IP uniques étaient toujours recensées par l'ISC chaque 24h, dont plus de 10,000 en France. Il est donc urgent de "finir le travail" pour que ce troyen ne soit plus qu'un mauvais souvenir. Et que le jeudi 8 mars ne soit pas un "Jeudi Noir" pour des milliers d'internautes victimes de DNSChanger...
Source ZDNet
Accueil 
FAQ 
Rechercher 
S'enregistrer 
Connexion 
