Sunday, April 29, 2012

DNSChanger එකට ඔබ නොදැනුවත්වම ඔබේ පරිගණකයත් බිලි වෙලාද?


මේ දිනවල අන්තර්ජාලය තුළ ප්‍රසිද්ධ මාතෘකාවක් තමයි  DNSChanger මැල්වෙයා වැඩසටහන් (TDSS, Alureon, TidServ සහ TDL4 වැනි වෛරස).  මේ ගැන ලියවෙන ලිපිත් මේ දවස්වල බොහෝ තැන්වල දකින්න ලැබෙනවා. සමහරවිට ඔබ මේ ගැන දැනටමත් දැනුවත් ඇති. නොදැනුවත් වෙන්නත් පුලුවන්. මේ ලිපියේ අරමුණ ඔබට මේ අන්තර්ජාල උවදුර පිළිබඳව හැකිතාක් පරිපූර්ණ අවබෝධයක් ලබාදීමයි.




DNSChanger මැල්වෙයා!


2007 වර්ෂය ආරම්භයේදී සයිබර් අපරාධකරුවන් කණ්ඩායමක් විසින් DNSChanger මැල්වෙයා විශේෂය භාවිතා කර ලොව පුරා රටවල් 100කට අධික ප්‍රමාණයක ඇති පරිගණක මිලියන 4ක් ආසාදනය කරවන ලදී. ඇමෙරිකා එක්සත් ජනපදය තුළ පමණක් පුද්ගලයින්, ව්‍යාපාර සහ නාසා වැනි රාජ්‍ය නියෝජිතායතන මගින් භාවිතා කළ පරිගණක ලක්ෂ 5ක් පමණ මෙම මැල්වෙයා වැඩසටහනට නතු වී තිබිණි. මෙහිදී මෙම ආසාදිත පරිගණක පරිශීලකයින් නොදැනුවත්වම ඔවුන් එස්ටෝනියා, නිව්යෝක් සහ චිකාගෝ වැනි ප්‍රදේශවල තිබූ අපරාධකරුවන්ගේ නීතිවිරෝධී DNS Servers වෙත යොමුකරවීම සිදුවිය.











මොවුන්ගේ DNS servers මගින් පරිශීලකයා යොදන සෙවුම් ප්‍රතිඵල වෙනස් කරමින්, ව්‍යාජ නිෂ්පාදන ප්‍රවර්ධනය කරමින්, වැරදි තෙරතුරු සපයමින් පරිශීලකයින්  නොමග යවා තිබේ. කොටින්ම කියතොත් අන්තර්ජාලයේ කුමක් Search කළත්, ඒ සෙවීම ඇරඹෙන්නේ DNS හරහාම වන බැවින් මෙමගින් පරිශීලකයාට සැබෑ අන්තර්ජාලය වෙනුවට, වෙනමම ව්‍යාජ අන්තර්ජාලයක් මවා පෙන්වීමට කටයුතු කර තිබේ.

මෙම සොර කණ්ඩායම නීතිවිරෝධී ලෙස ඩොලර් මිලියන 14ක් පමණ අන්තර්ජාල වෙළඳ ප්‍රචාරණය හරහා උපයාගෙන තිබේ. ඇතැම් අවස්ථා වලදී මෙම මැල්වෙයා වැඩසටහන මගින් ආසාදිත පරිගණක තවදුරටත් නරක වැඩසටහන් වෙත විවෘත කරමින් මෙහෙයුම් පද්ධතිය සහ ප්‍රතිවෛරස මෘදුකාංග යාවත්කාලීන (Update) වීමද වළකා තිබුණි.

Rove Digital නමින් සාමාන්‍ය ව්‍යාපාර ආයතනයක් ලෙසටම සංවිධානාත්මකව කටයුතු කළ මොවුන් මැල්වෙයා භාවිතයෙන් ලාභ ලැබූයේ නීතිවිරෝධී ආකාරයෙනි. එසේම පෙර නොවූ විරූ ආකාරයේ සංකීර්ණත්වයක් මේ තුළ දක්නට ලැබුණු බවත් FBI නියෝජිතයෙක් විසින් හෙළිකොට තිබේ. මෙම මැල්වෙයා එක පිළිබඳව පරීක්ෂණ පැවැත්වීම සඳහා FBI ආයතනය මගින් දියත් කළ මෙහෙයුම Operation Ghost Click නමින් හැඳින්වේ.

DNS Changer සහ එහි බලපෑම ගැන දැනගැනීමට පෙර DNS පිළිබඳව සරලව දැනුවත් වී සිටිමු.

මොකක්ද මේ DNS කියන්නෙ?


මෙහෙම හිතමු. ඔබේ පාසලේ පන්ති නාමලේඛනය ඔබට මතකද? එහි ඔබේ නම සහ ඔබේ ලියාපදිංචි අංකය ඇතුළත්ව තිබුණා ඔබට මතක ඇති. එක් එක් සිසුවාගේ ලියාපදිංචි අංකය මතක තබාගන්නවාට වඩා ඔවුන්ගේ නම් මතකයේ තබාගැනීම පහසු නිසා ඔබේ ගුරුවරයා ඔබට ලියාපදිංචි අංකයෙන් කතා නොකර ඔබේ නමින් ඔබ අමතන්න ඇති. එහෙම නේද?



නමුත් ඔබේ ගුරුවරයාට පාසලේ කාර්යාලයේ ඇති ඔබේ තොරතුරු ඇතුළත් ලිපිගොනුවක් සොයාගැනීමට අවශ්‍ය වූයේ නම්, ඔබේ නමින් සෙවීමට වඩා ලියාපදිංචි අංකයෙන් සෙවීම ගුරුවරයාට පහසුවක් වේවි. එහිදී ඔහු ඔබේ ලියාපදිංචි අංකය සොයාගන්නේ කොහොමද! සරලයි. පන්ති නාමලේඛනයේ ඔබේ නමට ඉදිරියෙන් ඇති අංකය බලාගැනීම පමණයි ඔහු කළ යුත්තේ. ඉන්පසු එම ලියාපදිංචි අංකය භාවිතා කර, කාර්යාලයේ රාක්ක ගණනාවක ඇති ලිපිගොනු දහස් ගණනක් අතරින් ඔබේ තොරතුරු ඇතුළත් ලිපිගොනුව සොයාගන්න ගුරුවරයාට හැකියි.

මේ පන්ති නාමලේඛනයේ කතාව අපි අපේ මාතෘකාවට අදාලව සිතුවොත්!

මේ DNS (Domain Name System) එකක් කියන්නේ අන්තර්ජාලයේ ඔබ විසින් ඇතුළත් කරන, ඔබට මතකයේ තබාගැනීමට පහසු ආකාරයේ වචන වලින් ඇති වෙබ් ලිපින, නැතහොත් ඩොමේන් නාමයන්, සංඛ්‍යාමය ඉන්ටනෙට් ප්‍රොටෝකෝල ලිපින (numeric Internet protocol/IP addresses) බවට හැරවීම සඳහා උපකාරීවන අන්තර්ජාල සේවාවක්. (ඉන්ටනෙට් ප්‍රොටොකෝල යනුවෙන් අදහස්වන්නේ පරිගණක එකිනෙක හා සන්නිවේදනය කිරීම සඳහා භාවිතා වන සම්මතයන් කියන්න පුලුවනි. IP Address එක කියන්නේ අන්තර්ජාලය තුළ එකිනෙකට සම්බන්ධව ඇති පරිගණක හා උපාංග වෙන් වෙන්ව හඳුනාගැනීම වෙනුවෙන් භාවිතා කරන අංකන ක්‍රමයක් කීවාට වරදක් නැහැ).




ඔබ ඔබේ බ්‍රව්සරයේ ඇඩ්‍රස් බාර් එකට ඩොමේන් නාමයක් නැතහොත් වෙබ් ලිපිනයක් (www.facebook.com) ඇතුළත් කළ විට, ඔබේ පරිගණකය එම වෙබ් ලිපිනයට අදාල IP address එක (69.63.189.12) ලබාගැනීම සඳහා  DNS servers සමග සම්බන්ධ වේ. ඔබට අවශ්‍ය වෙබ් අඩවියට අදාල IP address එක DNS server එකෙන් ලබාගත් පසුව, එම IP address භාවිතා කර ඔබේ පරිගණකය එම වෙබ් අඩවිය සොයාගෙන ඒ හා සම්බන්ධ වේ. (මේ සිදුවීම අත්හදා බැලීමට අවශ්‍ය නම් 69.63.189.12 යන්න ඔබේ ඇඩ්‍රස් බාර් එක තුළ ටයිප් කර enter කරන්න. කිසිදු වෙනසක් නැතිවම www.facebook.com වෙත ඔබව රැගෙන යනු ඇති. www.facebook.com=69.63.189.12).

DNS servers ක්‍රියාත්මක කරන්නේ ඔබේ අන්තර්ජාල සේවා සැපයුම්කරුවන් (Internet service provider/ISP) විසින් වන අතර ඔබේ අන්තර්ජාල සම්බන්ධතාවයට අදාල DNS servers පිළිබඳ තොරතුරු ඔබේ ජාල සැකසුම් (network configuration) තුළ ඇතුළත්ව තිබේ. ඔබේ පරිගණකයට මෙම  DNS සහ DNS servers වල සහය නොමැතිව වෙබ් අඩවි වලට ඇතුළත් විය නොහැකියි. ඊමේල් පණිවුඩ යැවිය නොහැකියි. වෙනත් මොනයම් ආකාරයක හෝ අන්තර්ජාල සේවාවක් ලබාගත නොහැකියි. වෙනත් විදියකින් කීවොත් DNS සහ DNS servers ඔබේ අන්තර්ජාල සම්බන්ධතාවයේ අත්‍යාවශ්‍ය කාර්යයක් ඉටු කරනවා.

දැන් අපි නැවතත් කලින් කතාවට යමු.


නාමලේඛනයේ ඔබේ නම ඉදිරියෙන් ඇති ලියාපදිංචි අංකය වැරදිනම්! කවුරුන්හෝ විසින් සැබෑ නාමලේඛනය සඟවා වැරදි/ව්‍යාජ ලියාපදිංචි අංක සහ සත්‍ය නම් සහිත නාමලේඛනයක් ගුරුවරයාට ලබාදීලා නම්! ඒ වැරදි ලියාපදිංචි අංකය භාවිතා කරමින් ඔබේ ගුරුවරයා සොයාගන්නා ලිපිගොනුව ඔබේ නියම ලිපිගොනුව නෙවෙයි නේද? අතැමිවිට මේ පිළිබඳව ගුරුවරයා දැනගන්නාවිටත් ඔහු වැරදි ලිපිගොනුවක් සොයාගොස් අවසන්! එය ඔබේ නමම ඇති වෙනත් අයෙකුගේනම් ගුරුවරයා සදාකල් එය දැනනොගැනීමටත් ඉඩ තිබෙනවා නේද? මොකද නාමලේඛනයෙන් ලබාගත් ව්‍යාජ ලියාපදිංචි අංකයක් ඔස්සේ ගියත්, ඔහු විශ්වාස කරනවා එය තමා සොයන සිසුවාගේම බව, තිබෙන්නේ ඒ නමම නිසා!

අන්තර්ජාල අපරාධකරුවන් මේ ක්‍රමය ගැන දැන් අවධානය යොමුකර තිබෙනවා. (පන්තියේ නාමලේඛන මාරුකිරීම ගැන නෙවෙයි).



ඔබ අන්තර්ජාලය හා සම්බන්ධ වන DNS servers ඔබටත් රහසින් වෙනස් කළ හැකිනම්, ඔබ ඇතුළත් කරන ඔබ දන්නා වෙබ් ලිපින ඔස්සේම ඔවුන්ට ඔබව ඔවුන්ට අවශ්‍ය ව්‍යාජ වෙබ් අඩවි වෙත යොමු කිරීමේ හැකියාවක් පවතිනවා. DNS එකක් පාලනය කළ හැකිනම්, අපරාධකරුවෙකුට ඔබට කිසිදු සැකයක් ඇති නොවන පරිදි ඔහුට අවශ්‍ය තැන් වෙත ඔබ යොමුකරවීමේ හැකියාව ලැබෙනවා. මේ ආකාරයෙන් ව්‍යාජ DNS servers භාවිතා කර පරිශීලකයින් අවශ්‍ය පරිදි ව්‍යාජ වෙබ් අඩවි වෙත යැවීම සඳහා භාවිතා කරන එක් ක්‍රමයක් තමයි මේ DNSChanger වර්ගයේ මැල්වෙයා   (malware) භාවිතා කිරීම.
  
මින් සිදුවන්නේ කුමක්ද?

මෙහිදී අපරාධකරුවන් මෙම මැල්වෙයා එක භාවිතාකර ඔබේ අන්තර්ජාල සේවා සැපයුම්කරු විසින් ලබාදෙන නියම DNS server settings වෙනස් කොට, අපරාධකරුවන් විසින් පාලනය කරනු ලබන ව්‍යාජ DNS server settings ඔබේ පරිගණකයට ඇතුළත් කරනු ලබනවා. මේ විදියේ අපරාධකරුවන් විසින් පාලනය කරන නරක DNS servers අපි rogue  DNS servers  ලෙස හඳුන්වනවා.

FBI ආයතනය මෙවැනි rogue DNS servers ජාලයක් පිළිබඳව තොරතුරු අනාවරණය කරගෙන ඒවා නිෂ්ක්‍රිය කිරීමට පියවර ගෙන තිබෙනවා. එසේම  එම DNSChanger මැල්වෙයා එකෙන් ආසාදිත පරිගණක හඳුනාගැනීමටත්, ඒ පිළිබඳව පරිශීලකයින් දැනුවත් කිරීමටත් FBI ආයතනය උත්සුක වෙනවා. මෙසේ rogue DNS ජාලයක් නිෂ්ක්‍රීය කිරීමේ ප්‍රතිඵලයක් ලෙස එම ජාලය මත යැපෙමින් වෙබ් අඩවි සහ අන්තර්ජාල සේවා ලබාගන්නා ආසාදිත පරිගණක වලට DNS සේවා ලබාගත නොහැකි වී යාහැකියි. මෙම ගැටලුව විසඳාගැනීම සඳහා FBI ආයතනය පුද්ගලික අංශයේ විශේෂඥයන්ගේද සහය ඇතිව, පුද්ගලික රාජ්‍ය නොවන ආයතනයක් මගින් මෙම ආසාදිත පරිගණක සඳහා rogue DNS servers වෙනුවට clean  DNS servers ස්ථාපනයකොට පවත්වාගෙන යනු ලබයි. එසේම FBI ආයතනය විසින් අන්තර්ජාල සේවා සැපයුම්කරුවන්ට තම පරිශීලකයින් rogue DNS servers වෙතින් තමන්ගේ DNS servers වෙත නැවත යොමුකරවීම සඳහා වන උපදෙස්ද හා තොරතුරුද ලබාදේ.


මෙම clean DNS servers පවත්වාගෙන යාම සඳහා FBI ආයතනය උදව් දෙන්නේ මාස හතරක කාලයක් සඳහා පමණි. ඒ දැනටමත් DNSChanger මැල්වෙයා එකෙන් ආසාදනය වී ඇති පරිගණක පරිශිලකයින්, ව්‍යාපාර ආයතන සහ අනෙකුත් ආයතන වලට එම පරිගණක හඳුනාගෙන සකස් කරගැනීම සඳහා අවශ්‍ය කාල වේලා ලබාදීම සඳහායි. දැනට දැනුම්දී ඇති පරිදි 2012 වසරේ ජූලි 09 වැනිදා මෙම clean DNS servers නවතා දමනු ලැබේ. මෙම DNSChanger මැල්වෙයා එකෙන් ආසාදනය වී ඇති පරිගණක වෙනත් මැල්වෙයා වැඩසටහන් වලින්ද ආසාදනය වී තිබීමේ ඉඩ ඇති බැවින්, මෙම clean DNS servers හරහා අන්තර්ජාල සේවා ලබාගැනීම තුළින් එම පරිගණක අනෙකුත් මැල්වෙයා වැඩසටහන් වලට ගොදුරු නොවන බවට සහතිකයක් දිය නොහැක. මෙහි අරමුණ rogue DNS servers ජාල නිෂ්ක්‍රිය කිරීමේදී ආසාදිත පරිගණක වෙත අන්තර්ජාල සේවා නොලැබීයාම වැළැක්වීම පමණි.


DNSChanger මැල්වෙයා වැඩසටහනෙන් ඔබේ පරිගණකය අසාදනය වුවහොත්!



DNSChanger  මැල්වෙයා වැඩසටහන ඔබේ පරිගණකය දෙයාකාරයකින්  rogue DNS servers භාවිතයට යොමු කරයි. පළමු ක්‍රමය, ඔබේ අන්තර්ජාල සේවා සැපයුම්කරුගේ සැබෑ  DNS server සැකසුම්, අපරාධ කරුවන්ගේ rogue DNS servers වෙත යනසේ සැකසීමයි. දෙවැනි ක්‍රමය නම්  පරිශීලකයාගේ dynamic host configuration protocol ( DHCP )  server  එකක් සහිත small office/home office (SOHO) ජාලයක ඇති උපාංග (router හෝ home gateway එකක්) වෙත ඇතුළු වීමට උත්සහ ගැනීමයි. මෙම මැල්වෙයා වැඩසටහන මගින් පොදුවේ භාවිතාවන (Common/Default) පරිශීලක නාම සහ මුරපද භාවිතා කර ඒවා වෙත ඇතුළත් වීමට උත්සහ කොට, එම උත්සාහය සාර්ථක වූ තැන, ඔබේ අන්තර්ජාල සේවා සැපයුම්කරුගේ සැබෑ  DNS server සැකසුම්, අපරාධ කරුවන්ගේ rogue DNS servers වෙත යනසේ වෙනස්කොට සකසයි. මෙම වෙනස් කිරීම මැල්වෙයා එකෙන් ආසාදිත සහ ආසාදිත වී නැති, අදාල SOHO ජාලයේ ඇති සියලුම පරිගණක වලට බලපායි.
 


මෙම ආසාදිත පරිගණකයක් භාවිතා කරන්නෙකු නිල iTunes වෙබ් අඩවියේ ලින්ක් එකක් මත ක්ලික් කළද,  ඔවුන් එම නිල iTunes වෙබ් අඩවිය වෙත ගෙනයාම වෙනුවට මෙම අපරාධකරුවන්ගේ Apple මෘදුකාංග විකීණීම සදහා වන වෙනත් වෙබ් අඩවියක් කරා යොමුකිරීම සිදුවේ. මෙමගින් මෙම අපරාධකරුවන් නීති විරෝධි ලෙස ආදායම් උපයනවා පමණක් නොව, සැබෑ වෙබ් අඩවි සහ වෙළඳ ප්‍රචාරකයින්ට සැලකිය යුතු ආදායමක් අහිමි කිරීමද සිදු කරනවා.

මේ සම්බන්ධයෙන් පසුගිය වසර අගදී (2011 නොවැම්බර් 8) FBI, NASA-OIG ආයතන සහ එස්ටෝනියා පොලීසිය විසින් එස්ටෝනියා හිදී අත්අඩංගුවට ගත් සයිබර් අපරාධකරුවන් හයදෙනා පිටුවහල් කිරීමටද ඇමෙරිකා එක්සත් ජනපදය කටයුතු කර ඇත. මෙම අත්අඩංගුවට ගැනීමට සමගාමීව, එක්සත් ජනපද බලධාරීන් විසින් විවිධ ස්ථානවල තිබූ පරිගණක සහ rogue DNS නවතා දමා ඇත. එසේම මැල්වෙයා එක මගින් ආසාදිත පරිගණක පරිශීලකයින්ට අන්තර්ජාල සබඳතාවය නොලැබී යාම වැළැක්වීම සඳහා  මෙම වසරේ ජූලි නව වැනිදායින් නිෂ්ප්‍රභ වන උසාවි නියෝගයක් මගින් අපරාධකරුවන්ගේ Rove Digital ජාලයේ ඇති rogue DNS servers ඉවත්කොට ඒවා වෙනුවට වෙනත් නීත්‍යානුකූල servers ද ස්ථාපනය කර ඇත.



කෙසේවෙතත් මෙම ප්‍රතිස්ථාපනය කළ servers DNSChanger මැල්වෙයා එක හෝ, එම මැල්වෙයා එක සහය දක්වන වෙනත් වෛරස ඉවත්කිරීමක් සිදු නොකරයි.


ඔබේ පරිගණකය ආසාදනය වීඇතිදැයි දැනගන්නේ කොහොමද



ඔබේ පරිගණකය මෙම මැල්වෙයා එකෙන් ආසාදිතදැයි දැනගැනීමට ඇති හොඳම ක්‍රමය පරිගණක වෘත්තිකයෙකු ලවා එය පරීක්ෂා කරගැනීමයි. කෙසේවෙතත්, එසේ කිරීමට පෙර පහත පියවර අනුගමනය කිරීමෙන් ඔබට ඔබේ පරිගණකය DNSChanger මැල්වෙයා එකට ගොදුරුව ඇතිදැයි දැනගත හැකියි. මේ සඳහා ඔබට ඔබේ පරිගණකයේ DNS server සැකසුම් පරීක්ෂා කළ හැකියි. ඔබේ පරිගණකය අන්තර්ජාලයට සම්බන්ධ වන්නේ wireless access point එකක් හෝ router එකක් හරහා නම් ඒවායේ සැකසුම්ද පරීක්ෂා කරීම හොඳය.

ඔබේ පරිගණකයේ DNS server සැකසුම් පිරික්සීම සඳහා Start Menu>Run (හෝ Windows Key +R) වෙත පිවිස cmd ටයිප් කර OK කරන්න.






ඉන්පසු ලැබෙන වින්ඩෝවේ  ipconfig/all ලෙස ටයිප් කර enter කරන්න. ඉන්පසුව ලැබෙන තොරතුරු වල DNS Servers යටතේ ඇති ඉලක්කම් වෙත අවධානය යොමු කරන්න.






එම IP Address වල ඇති අංක පහත පරාසයන් තුළට අයත් වේනම් ඔබේ පරිගණකයද DNSChanger මැල්වෙයා එකෙන් ආසාදනය වී rogue DNS servers භාවිතා කරමින් ඔබ ලබාදෙන ඔබ හොඳින් දන්නා වෙබ් ලිපින ඔස්සේ ව්‍යාජ වෙබ් අඩවි වෙත පිවිසෙන්නකි. (දැනට හඳුනාගෙන ඇති පහත පරාසයන්ගේ පළමු තිතට වම් පසින් ඇති අංකය 85, 67, 93, 77, 213, හෝ 64 යන අංක ඔබේ DNS servers වල ඇතුළත් නොවේනම් ඔබ අනෙකුත් අංක පිරික්සිය යුතු නැත).

  • 85.255.112.0 සිට 85.255.127.255 දක්වා
  • 67.210.0.0 සිට 67.210.15.255 දක්වා
  • 93.188.160.0 සිට 93.188.167.255 දක්වා
  • 77.67.83.0  සිට 77.67.83.255 දක්වා
  • 213.109.64.0 සිට 213.109.79.255 දක්වා
  • 64.28.176.0 සිට 64.28.191.255 දක්වා


මේ හැරුණුකොට ඔබට http://dns-ok.us/ වෙත පිවිසීමෙන්ද ඔබේ පරිගණකය පරීක්ෂා කරගතහැකියි. මෙම වෙබ් අඩවියෙන් ලැබෙන ප්‍රතිඵලය කොළ පැහැයෙන් යුතු නම් ඔබ තවමත් ආරක්ෂිතය. රතු පැහැනම්, ඔබ ඔබටත් නොදැනීම ඔබේ අතින්ම යතුරුලියනය වන වෙබ් ලිපින ඔස්සේ ඔබට අවශ්‍ය තැනට නොව අපරාධකරුවන්ට අවශ්‍ය තැනකට යොමුවන ආසාදිත පරිගණකයක් භාවිතා කරන්නෙකි.



ඔබේ පරිගණකය rogue DNS servers භාවිතයට යොමුකරනවා හැරුණුකොට, DNSChanger මැල්වෙයා එක මගින් ඔබව මංගත උපද්‍රව වලින් ආරක්ෂා කිරීමට අත්‍යාවශ්‍ය වන ඔබේ මෙහෙයුම් පද්ධතිය සහ ප්‍රතිවෛරස මෘදුකාංග update වීම වැළැක්වීමට ඉඩ ඇත. මේ නිසා ඔබේ පරිගණකය වෙනත් මැල්වෙයා සහ වෛරස් ආසාදන වෙත විවෘත විය හැකියි.

පහත සඳහන් වෙබ් අඩවියේ ඇති තොරතුරු සහ මෘදුකාංග භාවිතා කර ඔබට මෙම මැල්වෙයා එකෙන් ආරක්ෂා වීම සඳහා අවශ්‍ය පියවර ගත හැකියි.

http://www.dcwg.org/

ඔබේ පරිගණකය මෙම මැල්වෙයා මගින් ආසාදනය වී ඇති බවට සැකයක් පවතීනම් පරිගණක වෘත්තිකයෙකු ලබා පරීක්ෂාකරවා ගැනීම හොඳය. එසේ අලුත්වැඩියාවක් කිරීමට පෙර  ඔබේ දත්ත back- up කර තබාගැනීම වඩාත් සුදුසුවේ. 

අවසාන වශයෙන් මෙම මැල්වෙයා එක පිළිබඳව f-secure.com වෙබ් අඩවිය වාර්තා කර ඇති තොරතුරු පහතින් සඳහන් කරන්නම්.

Trojan:W32/DNSChanger


Name :Trojan:W32/DNSChanger
Category:Malware
Type:Trojan
Platform:W32

Summary

DNSChanger is a trojan that will change the infected system's Domain Name Server (DNS) settings, in order to divert traffic to unsolicited, and potentially illegal sites.

The trojan is usually a small file (about 1.5 kilobytes) that is designed to change the 'NameServer' Registry key value to a custom IP address. This IP address is usually encrypted in the body of a trojan. As a result of this change a victim's computer will contact the newly assigned DNS server to resolve names of different webservers.


Additional Details

Variant

Trojan.Win32.DNSChanger.al 
Lately we got a few samples of this trojan that were named 'PayPal-2.5.200-MSWin32-x86-2005.exe'. This trojan was programmed to change the DNS server name of a victim's computer to 193.227.227.218 address. 

The Registry key that is affected by this trojan is: 

  •  [HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces] 
      "NameServer"

Registry Modifications 
Creates these keys:

  •  HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random} 
    DhcpNameServer = 85.255.xx.xxx,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random} 
    NameServer = 85.255.xxx.133,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ 
    DhcpNameServer = 85.255.xxx.xxx,85.255.xxx.xxx
  • HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ 
    NameServer = 85.255.xxx.xxx,85.255.xxx.xxx

(FBI ආයතනය නිකුත් කළ තොරතුරු ඇසුරින් සකසන ලදී)
ලිව්වේ - කිනිත් හෙට්ටිආරච්චි විසිනි ©