数週間前、インターネット接続に問題が発生し始めました。接続が非常に遅くなり、突然、一部の Web サイト (具体的には Gmail、Facebook、YouTube、Twitter) が接続できなくなりましたが、他のサイトは正常に接続できました。数日後、同じ Web サイトにポルトガル語のメッセージが表示され始めました。「新しいアップデートが利用可能になりました」接続しようとするたびに、.exe ファイル (「internet_update.exe」など) のダウンロードが開始されます。
その時、私はパニックになりました。間違いなくウイルスか何かでしたが、そのような問題は今まで一度もなかったので、本当に奇妙でした (Linux を使用しています)。そこで、古い PC (Windows XP を使用しています) の電源を入れたところ、同じ問題があることがわかりました。特定の Web サイトに接続しようとすると、同じメッセージが表示されましたが、他の Web サイトは問題なく読み込まれました。Android スマートフォンでも同じメッセージが表示されました。
問題は特定のマシンではなく、ルーター自体にあることは明らかでした。そこでグーグルで検索してみると、いくつかの情報残念ながらスペイン語でしか見つけられなかったので、簡単に要約します。
これは、ブラジルの銀行に感染して情報を収集するために特別に開発された新しいバンキング型トロイの木馬です。どうやら、現在ではアルゼンチンとペルーにも感染が広がっているようです。
では、どのように動作するのでしょうか? ソーシャルネットワーク(動画、リンクなど)を通じて拡散し、DNSの値を変更することでインターネット接続を「制御」します。具体的には、プライマリDNS108.170.13.38、66.7.216.122、63.143.43.154のいずれかのIPアドレスとセカンダリDNS8.8.8.8に、このセカンダリDNSは実際にはGoogle パブリック DNSこのように構成されているため、インターネット接続は引き続き正常に機能し、ユーザーは何も気付かないでしょう。
ここで重要なのは、マシンにダウンロードやインストールが行われていないため、ウイルス対策ソフトは変更に気付かないということです。DNS が変更されると、トロイの木馬は接続するすべての Web サイトを制御し、銀行情報を盗みます。
そこで、このことを読んだ後、ルーターにアクセスし、プライマリ DNS とセカンダリ DNS を適切な値に復元しましたが、翌日、同じ問題が再び発生しました。
これは実際には 50% の警告投稿であり、50% は助けてください! という投稿です。
そこで、質問です。DNS が変更されないようにする方法はありますか?
追伸:申し訳ありませんが、この質問はここにすべきではありませんが、私はかなり切羽詰まっているので、正しい Web サイトにリダイレクトしてもらえますか?
答え1
このケースに当てはまるかどうかはわかりませんが、このようなことが発生する可能性がある 1 つの方法 (まれですが、あり得ます) は、悪質な Flash フラグメント (ユーザーが知らないうちにブラウザーによってダウンロードされ、実行される) が UPNP 経由でマシンからルーターにリダイレクトされ、ルーターが UPNP 再構成を受け入れる場合はルーターが再プログラムされることです。
これが脅威になる前から、私は UPNP が自分にとって役に立たないと判断し、それ以来 (おそらく 5 年以上) 自分が管理するすべてのルーターで UPNP を無効にし、さらに自分が構成するすべてのマシンで静的 DNS サーバー (私の場合は OpenDNS) を使用しています。