PplWare Mobile

Segurança Informática – Conhece o malware DNSChanger?

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Paulo Costa says:

    Também é possível reforçar mais a segurança das seguintes formas:

    – Verificar periodicamente o ficheiro Hosts e as ligações ethernet (winsock fix, etc) em Windows;
    – Verificar e limpar (quando aplicável) as configurações e Proxy no IE, FF, c;
    – Usar DNS da Google (8.8.8.8 / 8.8.4.4) ou OpenDNS em servidores e workstations,
    – Em websites e servidoers de alojamento usar CloudFlare;
    – Em servidores de Email, usar filtragem por RBLs e DNSBLs
    – Usar toolbars fidedignas para verificar origem de sites visitados (NetCraft, etc);

  2. SexOnaSal says:

    This computer with the IP address xx.xxx.xxx.xxx and your home network are not infected with the ‘DNSChanger-Trojan horse’.

    nice one (y)

  3. Dat55 says:

    isto afecta Linux?

  4. Nuno says:

    Troiano não trojan!!!!Mas porque utilizar um anglicismo quando a palavra já existia na nossa língua mesmo antes dos electrões andarem entre zeros e uns??????
    Essa mania tem de deixar de ser “fashion” e “cool”…

  5. ruben says:

    O meu pc foi formatado à uma/duas semanas e no site dnschanger.eu diz que o meu pc está infectado. Será por não ter escolhido o router? É que uso uma pen 3G da tmn e por isso não está na lista.

    • Pedro Pinto says:

      Boas Ruben, faz assim. Abre a linha de comandos e escreve ipconfig /all. depois coloca aqui a informação dos DNS que te deu sff.

      • ruben says:

        Microsoft Windows [Versão 6.1.7601]
        Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

        C:\Users\Rúben Santos>ipconfig /all

        Configuração IP do Windows

        Nome do Anfitrião. . . . . . . . .: RúbenSantos-PC
        Sufixo DNS principal. . . . . . . :
        Tipo de nó. . . . . . . . . . . . : Híbrido
        Rota IP activada. . . . . . . . . : Não
        WINS Proxy activado . . . . . . . : Não

        Adaptador PPP TMN:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : TMN
        Endereço físico . . . . . . . . . :
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim
        Endereço IPv4 . . . . . . . . . . . . . . : 46.50.88.101(Preferido)
        Máscara de sub-rede . . . . . . . : 255.255.255.255
        Gateway predefinido . . . . . . . : 0.0.0.0
        Servidores DNS. . . . . . . . . . : 88.214.178.2
        88.214.182.1
        Servidor WINS principal . . . . . : 10.11.12.13
        Servidor WINS secundário . . . . .: 10.11.12.14
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Placa de rede local sem fios Wireless Network Connection:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Realtek RTL8187B Wireless 802.11b/g 54Mbp
        s USB 2.0 Network Adapter
        Endereço físico . . . . . . . . . : 00-25-D3-0E-F9-E2
        DHCP activado . . . . . . . . . . : Sim
        Autoconfiguração activada . . . . : Sim
        Endereço IPv6 de local de ligação : fe80::b8d3:2d50:b14b:885b%11(Preferido)
        Endereço IPv4 . . . . . . . . . . . . . . : 192.168.10.3(Preferido)
        Máscara de sub-rede . . . . . . . : 255.255.255.0
        Concessão obtida. . . . . . . . . : domingo, 10 de Junho de 2012 10:54:05
        Concessão obtida válida até . . . : domingo, 17 de Junho de 2012 12:29:16
        Gateway predefinido . . . . . . . : 192.168.10.1
        Servidor DHCP . . . . . . . . . . : 192.168.10.1
        IAID DHCPv6 . . . . . . . . . . . : 218113491
        DUID Cliente DHCPv6 . . . . . . . : 00-01-00-01-17-58-08-76-00-90-F5-8D-08-B0

        Servidores DNS. . . . . . . . . . : 192.168.10.1
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Adaptador ethernet Local Area Connection:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) Family PCI-E
        Gigabit Ethernet NIC (NDIS 6.20)
        Endereço físico . . . . . . . . . : 00-90-F5-8D-08-B0
        DHCP activado . . . . . . . . . . : Sim
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel isatap.{1B76FDDE-66BE-4CF6-8822-0667885D443E}:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft ISATAP Adapter
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel isatap.{F7A87C83-5844-45A1-B644-6551A098FBDF}:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel isatap.{DB958B19-A58F-4273-942F-E2C01D64C2AD}:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft ISATAP Adapter #3
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel Teredo Tunneling Pseudo-Interface:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim
        Endereço IPv6 . . . . . . . . . . : 2001:0:5ef5:79fd:24f1:fe4:d1cd:a79a(Prefe
        rido)
        Endereço IPv6 de local de ligação : fe80::24f1:fe4:d1cd:a79a%12(Preferido)
        Gateway predefinido . . . . . . . :
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Adaptador Tunnel 6TO4 Adapter:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft 6to4 Adapter #2
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim
        Endereço IPv6 . . . . . . . . . . : 2002:2e32:5865::2e32:5865(Preferido)
        Gateway predefinido . . . . . . . : 2002:c058:6301::c058:6301
        Servidores DNS. . . . . . . . . . : 88.214.178.2
        88.214.182.1
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        C:\Users\Rúben Santos>Microsoft Windows [Versão 6.1.7601]
        Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

        C:\Users\Rúben Santos>ipconfig /all

        Configuração IP do Windows

        Nome do Anfitrião. . . . . . . . .: RúbenSantos-PC
        Sufixo DNS principal. . . . . . . :
        Tipo de nó. . . . . . . . . . . . : Híbrido
        Rota IP activada. . . . . . . . . : Não
        WINS Proxy activado . . . . . . . : Não

        Adaptador PPP TMN:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : TMN
        Endereço físico . . . . . . . . . :
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim
        Endereço IPv4 . . . . . . . . . . . . . . : 46.50.88.101(Preferido)
        Máscara de sub-rede . . . . . . . : 255.255.255.255
        Gateway predefinido . . . . . . . : 0.0.0.0
        Servidores DNS. . . . . . . . . . : 88.214.178.2
        88.214.182.1
        Servidor WINS principal . . . . . : 10.11.12.13
        Servidor WINS secundário . . . . .: 10.11.12.14
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Placa de rede local sem fios Wireless Network Connection:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Realtek RTL8187B Wireless 802.11b/g 54Mbp
        s USB 2.0 Network Adapter
        Endereço físico . . . . . . . . . : 00-25-D3-0E-F9-E2
        DHCP activado . . . . . . . . . . : Sim
        Autoconfiguração activada . . . . : Sim
        Endereço IPv6 de local de ligação : fe80::b8d3:2d50:b14b:885b%11(Preferido)
        Endereço IPv4 . . . . . . . . . . . . . . : 192.168.10.3(Preferido)
        Máscara de sub-rede . . . . . . . : 255.255.255.0
        Concessão obtida. . . . . . . . . : domingo, 10 de Junho de 2012 10:54:05
        Concessão obtida válida até . . . : domingo, 17 de Junho de 2012 12:29:16
        Gateway predefinido . . . . . . . : 192.168.10.1
        Servidor DHCP . . . . . . . . . . : 192.168.10.1
        IAID DHCPv6 . . . . . . . . . . . : 218113491
        DUID Cliente DHCPv6 . . . . . . . : 00-01-00-01-17-58-08-76-00-90-F5-8D-08-B0

        Servidores DNS. . . . . . . . . . : 192.168.10.1
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Adaptador ethernet Local Area Connection:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) Family PCI-E
        Gigabit Ethernet NIC (NDIS 6.20)
        Endereço físico . . . . . . . . . : 00-90-F5-8D-08-B0
        DHCP activado . . . . . . . . . . : Sim
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel isatap.{1B76FDDE-66BE-4CF6-8822-0667885D443E}:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft ISATAP Adapter
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel isatap.{F7A87C83-5844-45A1-B644-6551A098FBDF}:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel isatap.{DB958B19-A58F-4273-942F-E2C01D64C2AD}:

        Estado do suporte . . . . . . . . : Suporte desligado
        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft ISATAP Adapter #3
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim

        Adaptador Tunnel Teredo Tunneling Pseudo-Interface:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim
        Endereço IPv6 . . . . . . . . . . : 2001:0:5ef5:79fd:24f1:fe4:d1cd:a79a(Prefe
        rido)
        Endereço IPv6 de local de ligação : fe80::24f1:fe4:d1cd:a79a%12(Preferido)
        Gateway predefinido . . . . . . . :
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Adaptador Tunnel 6TO4 Adapter:

        Sufixo DNS específico da ligação. :
        Descrição . . . . . . . . . . . . : Microsoft 6to4 Adapter #2
        Endereço físico . . . . . . . . . : 00-00-00-00-00-00-00-E0
        DHCP activado . . . . . . . . . . : Não
        Autoconfiguração activada . . . . : Sim
        Endereço IPv6 . . . . . . . . . . : 2002:2e32:5865::2e32:5865(Preferido)
        Gateway predefinido . . . . . . . : 2002:c058:6301::c058:6301
        Servidores DNS. . . . . . . . . . : 88.214.178.2
        88.214.182.1
        NetBIOS por Tcpip . . . . . . . . : Desactivado

        Pelo que vi os DNS não estavam dentro dos que refere no artigo.

      • ruben says:

        Acho que pus informação a mais!? Se tiver coisas a mais podem seleccionar o que interessa e apagar o comentário anterior.

        • Pedro A. says:

          No meu site, tenho uma aplicação da CloudFlare que supostamente notifica os visitantes se estes estiverem infectados por este malware. Não sei se funciona pq nenhum dos meus computadores está infectado, mas podes testar pelo sim pelo não.
          Para acederes, basta clicares no meu nome. Se estiveres infectado tens uma notificação, se não tiveres não ves nada, apenas o site.

  6. Canelas says:

    O FBI anda a abusar da sorte. Isto de cortar a internet é só demonstra que a SOPA está viva e vai ser aplicada.

    • Canelas says:

      Só uma pergunta: eles vão bloquear só os ip’s infectados ou tb os ip’s dinâmicos?

    • Pedro A. says:

      Eles não vão cortar nada, FBI está apenas a gerir os servidores de DNS dessa rede, e foi dada a ordem para a 9 de Julho estes servidores serem desligados. O problema é que a partir desta data, quem ainda tiver os endereços de DNS desta rede vai deixar de poder aceder à internet porque quando for preciso consultar o servidor de DNS para saber qual o IP correspondente ao site, como o servidor não vai estar disponivel não vai ser possivel aceder aos sites.

      Excerto retirado do site CloudFlare:
      DNSChanger is malware that was active for years and infected millions of computers. The FBI gained control of the servers that were used, and has been operating them safely for some time, but they will be shut down on July 9, 2012.

      Mais informações no site do FBI:
      http://www.fbi.gov/news/stories/2011/november/malware_110911

  7. Rodrigo says:

    A mim acusou, disse que estava infectado :S mas acho que os valores do DNS não estão nos intervalos falados aqui! Em quê que ficamos?

  8. Roy says:

    Deveriam mas era redireccionar todos os pedidos para uma página do FBI a indicar que se ali foi parar, é porque é mais uma vítima de programa maligno e que deve ou remover o programa maligno e mudar os dns’s, ou contratar alguém para o fazer.
    Isto seria o mais correcto, mas aquela gente não pensa. Mais rapidamente os afectados se mexiam, se queriam continuar a sua vidinha on-line, claro está.
    De outra forma aquilo deixa de dar e ficam à pesca, sem necessidade.

  9. Rafa says:

    Boas,

    Eu alterei os DNS no proprio router para os DNS para os da google. Assim, todos os pcs estão a utilizar os DNS do google :)…

    E, mesmo assim, para ter mais segurança, os DNS dos pc estão manuais também para os do google…

    Fiz o teste no site DNSChanger e está tudo Ok 🙂

  10. uma pergunta , e para quem usa router, o meu caso tenho um ONT ligado a um server 2003 directo ( IP externo ) a outra porta do ONT ligado a um linkys ….

    mas o meu pc está com IP Fixo :

    Configuração IP do Windows

    Adaptador ethernet WAN:

    Sufixo DNS específico da ligação. :
    Endereço IPv4 . . . . . . . . . . . . . . : 192.168.100.253
    Máscara de sub-rede . . . . . . . : 255.255.255.0
    Gateway predefinido . . . . . . . : 192.168.100.1

  11. Ricardo Morgado says:

    Boas, como posso verificar se estou infectado ?

    Cumps

  12. João says:

    Como vejo isso no mac?
    O meu mac foi formatado há uma questão de 3 dias…

    Cumps.

  13. Dat55 says:

    Podem verificar neste site:
    http://www.dns-ok.us/

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.