DNS Changerマルウェア検出はどのように機能しますか?
このマルウェアは、badguysの制御下でDNSサーバーを使用するようにコンピューターに指示します。これらのDNSサーバーはFBIに引き継がれました。サービスの中断を防ぐために、それらはクリーンなものに置き換えられましたが、この納税者が資金を提供したサービス 7月9日に廃止されます 。
Googleのようなサイト、および dns-ok.us は、DNSチェンジャーマルウェアに感染しているかどうかを知る方法を備えているため、警告を発し、インターネットを失うことがないように問題を修正するのに役立ちます7月9日到着。
これを検出するために次のモデルを使用していると仮定して正しいですか?
- FBIが置き換えたDNSサーバーは、サンプルドメインのIPアドレスを検索します。 (dns-ok.usなど)
- Dns-ok DNSサーバーは、これがDNSチェンジャー/ FBIで置き換えられたサーバーの1つであるかどうかを認識しています。正しい場合は、感染した訪問者にIPアドレスを提供します。それ以外の場合は、クリーンな訪問者にIPアドレスを提供します。
- 着信要求の宛先IPアドレスを使用して、Webページは「感染しています」メッセージを表示するかどうかを知ることができます。
これには、クリーンとクリーンでないために、次のいずれかが必要です。
- 個別のサーバー
- 個別のネットワークインターフェイス(物理または仮想、ポイントは個別のIPを保持すること)
- 2つの(種類の)IPごとにポート転送が異なるルーター。
または、彼らが使用しているよりエレガントなソリューションはありますか?それともFBIの協力が必要ですか?
これはすべてDNS解決に依存します。リクエストが「適切なサーバー」を通過する場合、グリーンページが表示されます。設定が間違っていると、赤いページが表示されます。
コマンドラインにipconfig /allと入力すると、DNS設定を確認できます。 ここ 悪い設定のリストを見ることができます。 ".
動作を確認するには、nslookupを使用できます。
nslookup dns-ok.us 8.8.8.8-これはAddress: 38.68.193.96を返し、トラフィックは「適切なサーバー」を通過します。
nslookup dns-ok.us 64.28.176.0-これはAddress: 38.68.193.97を返し、トラフィックは「リンクされたリストからの」「不良サーバー」を通過します。
次に、そのアドレスをURLバーに入力します:http://38.68.193.97http://38.68.193.96と結果を比較します。