Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2012 > Tammikuu > Testaa, onko koneessasi DNSChanger-haittaohjelma

Tietoturva nyt!

19.1.2012

Testaa, onko koneessasi DNSChanger-haittaohjelma

CERT-FI on julkaissut palvelun, jonka avulla voit tarkistaa onko koneellasi mahdollisesti Microsoft Windows ja OS X-käyttöjärjestelmiä saastuttanut DNSChanger-haittaohjelma. Palvelu toimii web-selaimella eikä vaadi selaimen lisäosia. DNSChangerilla saastuneiden tietokoneiden käyttämät nimipalvelut poistuvat käytöstä 7. maaliskuuta, jonka jälkeen saastuneiden koneiden nimipalvelukyselyt eivät enää toimi.

Dns-ok.fi ja dns-ok.ax verkkosivustot julkaistu


CERT-FI on julkaissut kaksi sivustoa, joiden kummankin avulla voit itse tarkistaa onko koneesi mahdollisesti DNSChanger-haittaohjelman saastuttama käymällä osoitteessa http://dns-ok.fi tai http://dns-ok.ax. Jos koneesi on haittaohjelman saastuttama, selaimesi ohjautuu sivustolle, jossa kerrotaan koneesi nimipalveluasetusten olevan ohjattu IP-osoitteisiin, jotka olivat ennen rikollisten hallussa. Jos koneessasi ei ole DNSChangerin käyttämiä nimipalvelinasetuksia, sinut ohjataan sivulle jossa kerrotaan ettei tietokoneesi ole ainakaan DNSChangerin saastuttama. Ohjaukset on toteutettu muokkaamalla nimipalveluiden asetuksia.

Saastuneiden koneiden sivustolle päätyneistä koneista kerätään tietoturvaloukkausten käsittelyä ja tilastointia varten seuraavat tiedot: julkinen IP-osoite, yhteydenoton aikaleima, selaimen versio eli User-Agent, sekä HTTP Host Header-tieto. Nimipalveluasetusten tarkistamiseen sivuston avulla ei tarvita selaimen lisäosia kuten Javaa tai Flashia.

CERT-FI on lähettänyt tietoa suomalaisissa verkoissa olevista DNSChangerilla saastutetuista tietokoneista internetoperaattoreille vuoden 2011 marraskuun alusta asti käyttäen Autoreporteria. DNSChangerilla saastuneiden tietokoneiden määrä on hiljalleen laskenut. On kuitenkin tärkeää, että loputkin saastuneet koneet saadaan putsattua. DNSChangerilla saastuneiden tietokoneiden nimipalvelimet lopettavat toimintansa 7. maaliskuuta. Toiminnan loppuminen johtaa siihen, etteivät saastuneet koneet enää pysty ottamaan yhteyttä verkon palveluihin nimipalvelua käyttämällä.


DNSChanger


DNSChanger-nimellä kutsuttu haittaohjelmaperhe muokkaa Windows- ja Mac OS X -tietokoneiden verkkoasetuksia siten, että nimipalvelukyselyt (DNS) ohjautuvat oman tietoliikennepalvelun tarjoajan sijasta rikollisten perustamille nimipalvelimille. Nämä nimipalvelimet antoivat väärennettyjä vastauksia ja ohjasivat käyttäjät väärien palvelujen ääreen. Haittaohjelma ja väärennetyt nimipalvelimet ovat olleet toiminnassa eri muodoissaan vuodesta 2007 alkaen.

Yhdysvaltain liittovaltion poliisi FBI suoritti marraskuussa 2011 yhdessä muun muassa Viron ja Hollannin viranomaisten kanssa operaation, jonka yhteydessä pidätettiin joukko epäiltyjä ja takavarikoitiin haittaohjelman käyttämä verkkoinfrastruktuuri. Nimipalvelimet ovat tällä hetkellä FBI:n hallussa.

CERT-FI on tiedottanut haittaohjelman toiminnasta sekä sen johdosta tehdyistä vastatoimista useaan otteeseen vuodesta 2009 lähtien.

Lisätietoa

https://www.cert.fi/tietoturvanyt/2009/12/ttn200912031339.html
https://www.cert.fi/tietoturvanyt/2009/11/ttn200911231722.html
http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_110911
http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

Sivua päivitetty 19.01.2012   Tulostusversio Tulostusversio