Tuesday, July 3, 2012

DNSChanger Malware

วิธีการป้องกัน ตรวจสอบ และกำจัดมัลแวร์ DNSChanger

9 กรกฎาคม 2555: FBI ทำการปิด DNS Server ที่ใช้โดยมัลแวร์ DNSChanger แล้วเมื่อเวลา 12:01 am EDT = 4.01 pm GMT

ในขณะที่เขียนเรื่องนี้ (3 กรกฎาคม 2555) ซึ่งเหลือเวลาอีกเพียงแค่ 6 วันเท่านั้นที่ FBI จะทำการปิดเครื่อง DNS Server หลอกลวงในวันที่ 9 กรกฎาคม 2555 ซึ่งจะทำให้เครื่องคอมพิวเตอร์ที่ติดมัลแวร์ DNSChanger (หรือ DNS Changer หรือ DNS Malware) ทั้งที่ใช้ระบบปฏิบัติการ Windows และ MAC OS จะไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ ดังนั้น ผู้ดูแลระบบควรทำการตรวจสอบเครื่องคอมพิวเตอร์ในความดูแลและกำจัดมัลแวร์ DNSChanger (ถ้าติดมัลแวร์) ให้เรียบร้อยก่อนถึงวันดังกล่าวเพื่อป้องกันปัญหาต่าง ๆ ที่จะเกิดตามมา

สำหรับบทความนี้จะเป็นสรุปแนวทางการป้องกัน ตรวจสอบและกำจัดมัลแวร์ DNSChanger ตามคำแนะนำของ FBI ซึ่งเผยแพร่ไว้ที่เว็บไซต์ DNS Changer Working Group (DCWG)

รู้จักกับมัลแวร์ DNSChanger
ในวันที่ 8 พฤศจิกายน 2554 หน่วยงาน FBI, NASA-OIG และตำรวจแอสโตเนียได้สนธิกำลังกันในการปฏิบัติภารกิจ Operation Ghost Click โดยได้จับกุมกลุ่มอาชญากรคอมพิวเตอร์ที่พัฒนาและแพร่ระบาดมัลแวร์ DNSChanger (หรือ DNS Changer หรือ DNS Malware) พร้อมทั้งยึดเครื่องเซิร์ฟเวอร์ที่เป็น DNS Server หลอกลวงได้จำนวนหนึ่ง สำหรับอาชญากรคอมพิวเตอร์กลุ่มนี้จะใช้ชื่อบริษัท Rove Digital บังหน้าและได้ทำการแพร่ระบาดไวรัสที่ทำหน้าที่เปลี่ยนการตั้งค่า DNS Server ของระบบคอมพิวเตอร์หลายตัวด้วยกัน เช่น TDSS, Alureon, TidServ และ TDL4 เป็นต้น

DNSChanger เป็นมัลแวร์ประเภท Denial of Service (DoS) สามารถติดได้ทั้งเครื่องคอมพิวเตอร์ระบบปฏิบัติการ Windows และ MAC OS โดยมัลแวร์ดังกล่าวนี้จะทำการเปลี่ยนแปลงการตั้งค่า DNS Server ของเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ และเมื่อผู้ใช้พยายามทำการเปิดเว็บไซต์บนอินเทอร์เน็ต มัลแวร์ DNSChanger ก็จะทำการส่งผู้ใช้ไปยังเว็บไซต์หลอกลวงที่สร้างขึ้นโดยกลุ่มอาชญากรคอมพิวเตอร์ หรือทำการสะกดรอยพฤติกรรมการใช้งานอินเทอร์เน็ต หรือทำการขโมยข้อมูลส่วนตัวของผู้ใช้ อย่างเช่น หมายเลขผู้ใช้และรหัสผ่าน เป็นต้น ซึ่งจากการตรวจสอบเบื้องต้นของ FBI พบว่ามีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ DNSChanger มีจำนวนมากกว่า 4 ล้านเครื่องทั่วโลก

วันที่ 23 เมษายน 2555 ที่ผ่านมา FBI ได้ประกาศว่าจะทำการปิดเครื่อง DNS Server หลอกลวงในวันที่ 9 กรกฎาคม 2555 เพื่อทำการกำจัดไวรัสออกจากระบบ โดยก่อนหน้านี้ได้พยายามทำการปิดเครื่อง DNS Server เหล่านี้หลายครั้ง แต่ยังไม่สามารถทำได้เนื่องจากยังมีเครื่องคอมพิวเตอร์จำนวนมากที่ยังคงติดมัลแวร์ DNSChanger ซึ่งจากข้อมูลล่าสุดในวันที่ 11 มิถุนายน 2555 พบว่ายังมีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ดังกล่าวนี้ประมาณ 300,000 เครื่องทั่วโลก โดยในจำนวนนี้มีเครื่องคอมพิวเตอร์ที่ใช้ในหน่วยงานสำคัญของทางราชการอยู่ด้วยจำนวนหนึ่ง ทั้งนี้ การปิดเครื่อง DNS Server หลอกลวงจะทำให้เครื่องคอมพิวเตอร์ที่ยังติดมัลแวร์ DNSChanger อยู่จะไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้

หมายเหตุ: ประเทศไทยยังคงมีเครื่องคอมพิวเตอร์ติดมัลแวร์ DNSChanger ประมาณ 3,000 เครื่อง

วิธีการป้องกันมัลแวร์ DNSChanger
สำหรับวิธีการป้องกันมัลแวร์ DNSChanger นั้นมีวิธีการเหมือนกับวิธีการพื้นฐานในการป้องกันมัลแวร์ ดังนี้
  • ติดตั้งและใช้งานโปรแกรม Firewall หรือ Windows Firewall
  • ติดตั้งโปรแกรม Antivirus และทำการอัปเดทฐานข้อมูลไวรัสให้เป็นปัจจุบัน
  • ติดตั้งโปรแกรม Anti Spyware และทำการอัปเดทฐานข้อมูลสปายแวร์ให้เป็นปัจจุบัน
  • ทำการอัปเดทระบบ Windows อย่างสม่ำเสมอ

สำหรับคำแนะนำเพิ่มเติมของ FBI ในการป้องกันมัลแวร์ DNSChanger อ่านได้ที่เว็บไซต์ http://www.dcwg.org/protect/

วิธีตรวจสอบมัลแวร์ DNSChanger
FBI ได้รวบรวมรายชื่อเว็บไซต์สำหรับใช้ตรวจสอบมัลแวร์ DNSChanger ไว้ในเว็บไซต์ http://www.dcwg.org/detect/

สำหรับ ด้านล่างเป็นตัวอย่างการตรวจสอบมัลแวร์ DNSChanger ด้วยเว็บไซต์ www.dns-ok.us กรณีที่ตรวจสอบแล้วเครื่องคอมพิวเตอร์ไม่ติดมัลแวร์จะได้ผลการทดสอบดังรูปที่ 1 พร้อมกับแสดงข้อความ DNS Resolution = Green อยู่ด้านล่าง แต่ถ้าหากเครื่องคอมพิวเตอร์ติดมัลแวร์จะได้ผลการทดสอบดังรูปที่ 2 พร้อมกับแสดงข้อความ DNS Resolution = RED อยู่ด้านล่าง

DNS Resolution = GREEN
รูปที่ 1 (เครดิต: www.dns-ok.us)

DNS Resolution = RED
รูปที่ 2 (เครดิต: www.dns-ok.us)

หมายเลขไอพีของ DNS Server หลอกลวง
หมายเลขไอพีของ DNS Server หลอกลวงที่ใช้โดยมัลแวร์ DNSChanger ดังนี้
  • 85.255.112.0 ถึง 85.255.127.255
  • 67.210.0.0 ถึง 67.210.15.255
  • 93.188.160.0 ถึง 93.188.167.255
  • 77.67.83.0 ถึง 77.67.83.255
  • 213.109.64.0 ถึง 213.109.79.255
  • 64.28.176.0 ถึง 64.28.191.255

วิธีการแก้ไขในกรณีที่ติดมัลแวร์ DNSChanger
ในกรณีที่ตรวจสอบแล้วปรากฏว่าเครื่องคอมพิวเตอร์ติดมัลแวร์ DNSChanger สามารถทำการแก้ไขได้โดยการใช้เครื่องมือต่างๆ ดังต่อไปนี้

ผู้ใช้ MAC OS สามารถกำจัดมัลแวร์ DNSChanger ได้โดยใช้ MacScan - Download

FBI ได้รวบรวมรายชื่อเครื่องมือสำหรับใช้กำจัดมัลแวร์ DNSChanger ไว้ในเว็บไซต์ http://www.dcwg.org/fix/

เรื่องที่เกี่ยวข้อง

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2012 TWA Blog. All Rights Reserved.

0 Comment: