Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 1

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2012 > Heinäkuu > DNSChangerin käyttämät nimipalvelimet sammutetaan 9.7.2012

Tietoturva nyt!

6.7.2012

DNSChangerin käyttämät nimipalvelimet sammutetaan 9.7.2012

DNSChanger-haittaohjelman käyttämät nimipalvelimet sammutetaan 9.7.2012 noin 06.00 Suomen aikaa. Haittaohjelman saastuttamilla tietokoneilla ei sen jälkeen voi esimerkiksi selata internet-sivustoja. Suomessa haittaohjelmia on enää muutamissa kymmenissä tietokoneissa.

Suomalaisiakin tietokoneita jo useita vuosia saastuttaneen haittaohjelma DNSChangerin nimipalvelimet sammutetaan maanantaina Suomen aikaan noin kello 06.00. Nimipalvelimet ovat olleet Yhdysvaltojen liittovaltion poliisin FBI:n hallussa vuoden 2011 marraskuusta lähtien, jolloin operaatio Ghost Click saatiin päätökseen. Rikollisten nimipalvelinten tilalle laitettiin oikeita vastauksia antavat nimipalvelimet. Samalla tuli mahdolliseksi myös ilmoittaa saastuneiden koneiden omistajille haittaohjelmatartunnasta.

Useat eri maiden CERT-ryhmät ovat toteuttaneet palvelun, jonka avulla kuka tahansa voi tarkistaa ovatko tietokoneen nimipalvelinasetukset kyseisen haittaohjelman muuttamia. CERT-FI:n tarkistuspalvelut ovat olleet osoitteissa http://dns-ok.fi ja http://dns-ok.ax. Palveluiden toimintaperiaatteesta on kerrottu tarkemmin 19.1.2012 julkaisemassamme Tietoturva nyt! -artikkelissa "Testaa, onko koneessasi DNSChanger-haittaohjelma".

Nimipalvelinasetuksia muuttava haittaohjelma toimii siten, että se palauttaa rikollisten määrittelemiä tietoja tietokoneen tekemiin nimipalvelukyselyihin. Haittaohjelmaa onkin ollut vaikea havaita tietokoneesta sen käyttämien rootkit-ominaisuuksien ja siksi, että suuri osa nimipalvelukyselyistä ohjautuu oikeaan osoitteeseen. Ensimmäiset havainnot tästä haittaohjelmasta Suomessa ovat vuoden 2009 lopulta. CERT-FI on käsitellyt nimipalvelinasetuksia muuttavia haittaohjelmia muun muassa Tietoturva nyt! -artikkelissa 11.11.2011, "Nimipalveluasetuksia muuttavat haittaohjelmat ovat olleet riesana pidemmän aikaa".

Nimipalvelimet oli alun perin määrä sammuttaa 8.3, mutta johtuen tartuntojen korkeasta määrästä niille annettiin 120 päivää jatkoaikaa. Kun haittaohjelman asettamat nimipalveluosoitteet lakkaavat toimimasta, muun muassa selaimet eivät löydä verkkosivuja. Suomessa tartuntoja on ollut verrattaen vähän, ja sekin vähäinen määrä on laskenut vähitellen vuoden 2011 lopulta asti jättäen jäljelle muutamia kymmeniä tietokoneita. Maailmanlaajuisesti haittaohjelman arvioidaan saastuttaneen miljoonia Windows- ja Mac-tietokoneita. Tartuntoja arvioidaan maailmanlaajuisesti olevan vielä noin 300000. Tartuntojen määrä voi todellisuudessa olla kuitenkin paljon suurempi, johtuen erilaisista tartuntamäärien mittaustavoista ja siitä, että välityspalvelimia ja NAT-verkkotekniikkaa käytettäessä yhden IP-osoitteen takaa voi löytyä useampi saastunut tietokone.

Lisätietoa

Dnschanger Working Groupin kotisivut
8.3.2012 DNSChanger-haittaohjelman nimipalvelinten elinaikaa jatkettiin
19.1.2012 Testaa, onko koneessasi DNSChanger-haittaohjelma
11.11.2011 Nimipalveluasetuksia muuttavat haittaohjelmat ovat olleet riesana pidemmän aikaa

Sivua päivitetty 06.07.2012   Tulostusversio Tulostusversio