Несколько недель назад у меня начались проблемы с интернет-соединением, оно было очень медленным, и внезапно некоторые сайты (в частности, gmail, facebook, youtube и twitter) начали не подключаться, в то время как остальные подключались нормально. Несколько дней спустя, эти же сайты начали показывать мне сообщение на португальском языке:"Nova updatelızış sponıvel"всякий раз, когда я пытался подключиться, начиналась загрузка .exe-файла («internet_update.exe» или что-то в этом роде).
Вот тогда я и вздрогнул! Это был определенно вирус или что-то в этом роде, но это было действительно странно, потому что у меня никогда не было такой проблемы (я использую Linux). Поэтому я включил свой старый ПК (на Windows XP), и оказалось, что у него была та же проблема! то же самое сообщение появлялось всякий раз, когда я пытался подключиться к одному из этих конкретных веб-сайтов, в то время как остальные загружались без проблем. Даже на моем смартфоне Android отображалось то же самое сообщение.
Так что было очевидно, что проблема была не в конкретной машине, а в самом маршрутизаторе. Поэтому я начал гуглить и нашелнекоторая информация, к сожалению, я нашел только некоторые на испанском языке, поэтому я сделаю вам краткое резюме:
Это новый банковский троян, разработанный специально для заражения и сбора информации из бразильских банков. По-видимому, теперь он распространился на Аргентину и Перу.
Так как же это работает? Он распространяется через социальные сети (видео, ссылки, ...), а затем он "берет под контроль" ваше интернет-соединение, изменяя значения ваших DNS. А именно, он меняетПервичный DNSк одному из этих IP-адресов: 108.170.13.38, 66.7.216.122 или 63.143.43.154 иВторичный DNSдо 8.8.8.8, этот вторичный DNS на самом деле являетсяGoogle Публичный DNS, и он настроен таким образом, чтобы ваше интернет-соединение продолжало работать нормально, а пользователь ничего не заметил.
Важная часть здесь в том, что поскольку на вашем компьютере не было сделано ни одной загрузки или установки, ни один антивирус не заметит никаких изменений. После того, как ваши DNS были изменены, троян контролирует каждый веб-сайт, к которому вы подключаетесь, и таким образом они крадут ваши банковские данные.
Итак, прочитав об этом, я подключился к своему маршрутизатору и восстановил правильные значения первичного и вторичного DNS, но через день у меня снова возникла та же проблема.
На самом деле это на 50% пост-предупреждение и на 50% пост-помогите мне!
Итак, вот вопрос:Есть ли способ предотвратить изменение моих DNS?
P.S.:Извините, если вопрос не по адресу, но я в отчаянии. Не могли бы вы перенаправить меня на нужный сайт?
решение1
Я не знаю, применимо ли это в данном случае, но одним из возможных способов возникновения подобных ситуаций (редко, но возможно) является вредоносный фрагмент Flash (загруженный и обработанный вашим браузером без вашего ведома), перенаправляющий с вашего компьютера на маршрутизатор через UPNP и перепрограммирующий маршрутизатор, если маршрутизатор принимает перенастройку UPNP.
Еще до того, как это стало угрозой, я решил, что UPNP бесполезен для меня, и с тех пор отключил его (вероятно, лет 5 или больше) на всех маршрутизаторах, которыми я управляю, а также использую статические DNS-серверы (в моем случае OpenDNS) на всех настраиваемых мной машинах.