ویروس مخرب شبکه DNS Changer را شناسایی کنید – میکروتیک/لینوکس/ویندوز

با سلام خدمت تمامی کاربران لردلی و مدیران محترم شبکه

امروز قصد معرفی یک ویروس بسیار مخرب که این روزها دوباره شروع به انتشار در داخل شبکه های کشور کرده است را داریم. تاریخچه این ویروس به سال ۲۰۰۴ بر میگردد که در آن سال این ویروس در آمریکا نوشته و منتشر گردید. FBI توانست این گروه نویسنده ویروس را دستگیر کند و کنترل سرور های آن ها را بر عهده گیرد.

نحوه تخریب این ویروس به گونه ای است که ویروس اقدام به تغییر آدرس های DNS سیستم می کند و شروع به مصرف اینترنت و ارسال هرزنامه به بیرون از شبکه می کند. همچنین درخواست های سیستم را به سرور های تقلبی خود ارسال کرده و باعث قطعی اینترنت و کندی سرعت و انتشار بیشتر ویروس میشود. متاسفانه این ویروس بر روی ویندوز و لینوکس و … تاثیر مخرب خود را به جای میگذارد و ذهن اکثر کاربران و  مدیران شبکه را امروزه درگیر خود ساخته است.

برای رفع این مشکل به صورت جدی:

ابندا برای چک کردن این ویروس بر روی ویندوز و یا هر سیستم عاملی که به صورت گرافیکی به آن دسترسی دارید از این سایت استفاده کنید

در این سایت نیازی به دانلود نیست. اگر نوشته اولیه سایت به رنگ قرمز در آمده و به شما خطای آلودگی را بدهد شما آلوده به این ویروس شده اید. در غیر این صورت هنوز مشکلی برای سیستم بوجود نیامده است.

 

روش چک کردن ادرس های DNS , Linux در فایل /etc/resolv.conf بوده که باید با یک ویرایشگر باز شود و در صورت مشاهده آدرس مشکوک شما آلوده به ویروس هستید.

متاسفانه این ویروس باید به صورت دستی از بین برود. برای از بین بردن ویروس باید آدرس دی ان اس های سیستم خود را به حالت عادی برگردانید و در مسیر اصلی یک فایل مشکوک به نام sync را حذف کنید.

بعد از این کار فایل /etc/rc.local را چک کنید. چون این فایل احتمالا خراب شده و در آن خطوطی اضافه شده باشد.

همچنین میتوانید از آنتی ویروس ClamAV استفاده کنید و فایل های سیستم خود را اسکن کنید. این آنتی ویروس جزو بهترین آنتی ویروس های باز متن لینوکسی است .

بخش اصلی و مهم بستن قابلیت انتشار این ویروس در شبکه و بین کاربران است. که در اینجا به طور کامل نحوه این کار را توضیح خواهیم داد.

خطوط  کانفیگ فایروال میکروتیک را به صورت کامل بر طبق آخرین آدرس های سرور که توسط FBI گزارش شده است در زیر قرار داده ایم تا مدیران شبکه این دسترسی ها را محدود کرده تا مشکلی برای کاربران و تجهیزات شبکه بوجود نیاید.

ip firewall address-list

add list=dns-changer-virus address=85.255.112.0/24
add list=dns-changer-virus address=67.210.0.0/20
add list=dns-changer-virus address=93.188.160.0/21
add list=dns-changer-virus address=77.67.83.0/24
add list=dns-changer-virus address=213.109.64.0/20
add list=dns-changer-virus address=64.28.176.0/20

ip firewall filter

add chain=input src-address-list=dns-changer-virus action=drop comment=”DNS Changer Input Virus Drop ”
add chain=forward dst-address-list=dns-changer-virus action=drop comment=” DNS Changer Drop Beam ”

بعد از اضافه کردن خطوط فوق به MikroTik امکان انتقال ویروس در شبکه را به حداقل خواهید رساند.