Clear
Lead Graphic Papers

FBI เตรียมปิดเซิร์ฟเวอร์ DNS Changer ในวันที่ 9 ก.ค. 2555 เครื่องคอมพิวเตอร์ที่ติดมัลแวร์จะไม่สามารถใช้งานอินเทอร์เน็ตได้

วันที่ประกาศ: 27 เมษายน 2555
ปรับปรุงล่าสุด: 4 กรกฎาคม 2555
เรื่อง: FBI เตรียมปิดเซิร์ฟเวอร์ DNS Changer ในวันที่ 9 ก.ค. 2555 เครื่องคอมพิวเตอร์ที่ติดมัลแวร์จะไม่สามารถใช้งานอินเทอร์เน็ตได้

ประเภทภัยคุกคาม: Denial of Service

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

มัลแวร์ DNS Changer ถูกค้นพบครั้งแรกเมื่อปี 2550 โดยสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ Mac OS X มัลแวร์ดังกล่าวนี้จะเข้าไปเปลี่ยนแปลงการตั้งค่า DNS Server ในเครื่องที่ตกเป็นเหยื่อ เพื่อส่งผู้ใช้ไปยังเว็บไซต์หลอกลวงที่แฮ็กเกอร์สร้างขึ้น หรือติดตามการใช้งานอินเทอร์เน็ตและขโมยข้อมูลสำคัญของผู้ใช้ จากการตรวจสอบในตอนนั้นพบว่ามีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์นี้กว่า 4 ล้านเครื่องทั่วโลก [1]

ในเดือนพฤศจิกายน 2554 หน่วยงาน FBI ได้ปฏิบัติภารกิจ Operation Ghost Click และได้ทำการจับกุมผู้พัฒนาและเผยแพร่มัลแวร์ DNS Changer พร้อมทั้งยึดเครื่องเซิร์ฟเวอร์ที่เป็น DNS Server ปลอมมาไว้ในการควบคุมเพื่อใช้ในการวิเคราะห์สอบสวน อย่างไรก็ตาม ทาง FBI ไม่สามารถที่จะปิดเซิร์ฟเวอร์ดังกล่าวได้ เนื่องจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ DNS Changer จำเป็นต้องติดต่อกับเครื่องเซิร์ฟเวอร์ที่เป็น DNS Server ปลอมในทุกครั้งที่เชื่อมต่อกับอินเทอร์เน็ต หากปิดเซิร์ฟเวอร์ดังกล่าว จะทำให้เครื่องคอมพิวเตอร์เหล่านั้นถูกตัดขาดจากอินเทอร์เน็ตโดยทันที [2] [3]

FBI มีความพยายามที่จะปิดเครื่องเซิร์ฟเวอร์ดังกล่าวอยู่หลายครั้ง แต่ยังไม่สามารถทำได้เนื่องจากพบว่ามีคอมพิวเตอร์จำนวนมากที่ยังคงติดมัลแวร์ DNS Changer อยู่ โดยจากการตรวจสอบในเดือนมีนาคม 2555 พบว่าทั่วโลกยังมีเครื่องที่ติดมัลแวร์อยู่ประมาณ 450,000 เครื่อง และในจำนวนนั้นมีคอมพิวเตอร์ที่ใช้ในหน่วยงานสำคัญของทางราชการอยู่ด้วย จนกระทั่งวันที่ 23 เมษายน 2555 ทาง FBI ได้ประกาศว่า จะทำการปิดเครื่อง DNS Server ปลอมลงชั่วคราวในวันที่ 9 กรกฎาคม 2555 เพื่อทำความสะอาด การปิดเครื่องเซิร์ฟเวอร์ดังกล่าวอาจส่งผลให้เครื่องคอมพิวเตอร์ที่ยังติดมัลแวร์อยู่จะไม่สามารถเข้าใช้งานอินเทอร์เน็ตได้ [4] [5]

ผลกระทบ

เครื่องคอมพิวเตอร์ที่ติดมัลแวร์ DNS Changer และไม่ได้ทำการแก้ไข จะไม่สามารถเข้าใช้งานอินเทอร์เน็ตได้ในวันที่ 9 กรกฎาคม 2555

ระบบที่ได้รับผลกระทบ

เครื่องคอมพิวเตอร์ที่ใช้งานระบบปฏิบัติการ Windows หรือ Mac OS X ที่ติดมัลแวร์ DNS Changer

ข้อแนะนำในการป้องกันและแก้ไข

FBI ได้ประสานงานกับหน่วยงานต่างๆ ในการจัดทำเว็บไซต์ DNS Changer Working Group (DCWG) เพื่อช่วยตรวจสอบและกำจัดมัลแวร์ DNS Changer ออกจากระบบ ผู้ใช้สามารถเข้าไปใช้งานได้ที่ http://www.dcwg.org/

ในการตรวจสอบว่าเครื่องคอมพิวเตอร์ติดมัลแวร์หรือไม่ สามารถทำได้โดยการเข้าไปที่หน้า http://www.dcwg.org/detect/ แล้วคลิกที่ลิงก์ของเว็บไซต์ dns-ok จากนั้นเมื่อระบบทำการตรวจสอบเสร็จสิ้นก็จะแสดงข้อความเพื่อบอกว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่นั้นติดมัลแวร์หรือไม่ ถ้าหากไม่ติดก็จะแสดงข้อความ DNS Resolution = Green แต่หากติดมัลแวร์จะแสดงข้อความ DNS Resolution = Red ดังรูปที่ 1

Al2012co0006.png
รูปที่ 1 แสดงผลการตรวจสอบ DNS โดยใช้เว็บไซต์ www.dns-ok.us

นอกจากนี้ ทาง Google และ Facebook ก็ได้ช่วยแจ้งเตือนผู้ใช้ที่ติดมัลแวร์ DSN Changer โดยหากทางเว็บไซต์ตรวจสอบได้ว่าผู้ใช้ติดมัลแวร์ ก็จะแสดงแถบข้อความแจ้งเตือนพร้อมทั้งแนะนำวิธีแก้ไขปัญหา ตัวอย่างการแจ้งเตือนเป็นดังรูปที่ 2 และ 3 [6] [7]

Al2012co0006-2.jpg
รูปที่ 2 การแจ้งเตือนผู้ใช้ที่ติดมัลแวร์ DNS Changer ของ Google

Al2012co0006-3.jpg
รูปที่ 3 การแจ้งเตือนผู้ใช้ที่ติดมัลแวร์ DNS Changer ของ Facebook

ซึ่งหากผู้ใช้ตรวจสอบแล้วพบว่าเครื่องติดมัลแวร์ DNS Changer ควรทำการกำจัดมัลแวร์ออกจากระบบโดยเร็วที่สุด สำหรับผู้ที่ใช้งานระบบปฏิบัติการ Windows ทาง Microsoft ได้แนะนำให้ดาวน์โหลดโปรแกรม Microsoft Malicious Software Removal Tool (MSRT) หรือ Microsoft Security Essentials มาใช้ในการกำจัดมัลแวร์ ส่วนผู้ที่ใช้งานระบบปฏิบัติการ Mac OS X สามารถดาวน์โหลดซอฟต์แวร์ DNSChanger Removal Tool จากเว็บไซต์ http://www.dnschanger.com/ มาใช้งานได้ฟรี

หลังจากกำจัดมัลแวร์แล้ว การตั้งค่า DNS Server ที่เกิดจากมัลแวร์อาจยังคงติดค้างอยู่ในระบบซึ่งอาจก่อให้เกิดปัญหาตามมาภายหลังได้ [8] ทาง Avira ได้พัฒนาเครื่องมือสำหรับซ่อมแซมระบบ Windows ที่ได้รับผลกระทบจากมัลแวร์ DNS Server โดยผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Avira [9]

อย่างไรก็ตาม ผู้ใช้ควรติดตั้งซอฟต์แวร์แอนตี้ไวรัสและหมั่นอัพเดตฐานข้อมูลให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ เพื่อช่วยในการตรวจจับและป้องกันปัญหาการติดมัลแวร์ที่อาจจะเกิดขึ้นได้ในอนาคต

อ้างอิง

  1. http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
  2. http://reviews.cnet.com/8301-13727_7-57322316-263/fbi-tackles-dnschanger-malware-scam/
  3. http://www.fbi.gov/news/stories/2011/november/malware_110911
  4. http://www.theage.com.au/digital-life/consumer-security/internet-users-warned-of-big-blackout-in-july-20120329-1w172.html#ixzz1qW2sYEy8
  5. http://reviews.cnet.com/8301-13727_7-57421311-263/renewed-efforts-to-revert-dnschanger-in-effect
  6. http://nakedsecurity.sophos.com/2012/05/23/google-malware/
  7. https://www.facebook.com/notes/facebook-security/notifying-dnschanger-victims/10150833689760766
  8. https://www.hkcert.org/my_url/en/blog/12062701
  9. http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1199

Clear