سلام به دوستان امن پرداز
تقریبا از اوایل ماه سپتامپر بود که با مورد عجیبی برخورد کردم، وقتی به برخی سایت ها مراجعه میکنم مخصوصا سایت های فروشگاهی پیام تبلیغات ناخواسته از DNS UNLOCKER نمایش داده میشه.
طبیعتا فکر کردم یه ادویر هست و یا ادان و یا اکستنشن که آلوده باشه. از اون روز تقریبا تمام پروسه ها، نرم افزار ها، ادان ها و هر چی فکر کنید رو چک کردم. تمامی آنتی ویروس ها و آنتی ادویر ها و ...
دیگه سرتون رو درد نیارم، این بدافزار پاک شدنی نیست. چند روزی غیر فعال میشه و بر میگرده.
نحوه فعالیتش تو لینک های زیر توضیح داده شده
http://www.vash-garderob.ru/site/aHR0cD ... E5ld3N8fDk
حالا واقعا نمیدونم سرورهای گوگل رو زدن یا اتکی هست که صرفا به ایران شده چون مبداش هم از اسراییل هست
https://thecomputerperson.wordpress.com ... 3-142-174/
بحث پیام تبلیغاتیش نیست بحث هوشمندی این حمله هست و نوع فعالیتش هست که تقریبا میشه گفت اتکرها با این شیوه حمله میتونن به تمامی اطلاعات کاربرها دسترسی پیدا کنن.
در این مورد مرکز ماهر مقاله ای داده که صرفا کپی پیست از مقاله های بی ربط سایت های خارجی هست. این حمله بسیار هوشمنداته تر از این حرفاست. امیدوارم خودتون و مرکز ماهر بتونید پیگیری کنید و اگه فعلا راهی وجود نداره ناچارا بهتره کلا گوگل آنالاتیکز و یا شاید کلا گوگل رو تا مدتی فیلتر کرد.
تهدید dns unlocker
-
mohammadktabriz
- پست: 740
- تاریخ عضویت: جمعه سپتامبر 06, 2013 2:04 pm
این لینکو ببین
http://tabnak.ir/fa/news/533128/%D8%A7% ... 8%B3%D8%AA
http://tabnak.ir/fa/news/533128/%D8%A7% ... 8%B3%D8%AA
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="بابک خرمدین"]این لینکو ببین
http://tabnak.ir/fa/news/533128/%d8%a7% ... 8%b3%d8%aa[/quote]
با این روش ها پاک سازی نمیشه دوست عزیز، من همه روش ها رو امتحان کردم. اینا و حتی پستی که خود مرکز ماهر گزاشته صرفا کپی سطحی از پست های خارجی هست.
اتک یا روی dns ها اعمال میشه یا بعضی سرورهای گوگل کامپرومایز شده.
ضمن اینکه تاکیدم روی روش حمله هست که بی تعارف نشون دهنده نسل جدیدی از تهدیدات میتونه باشه حتی از استاکسنت هم حرفه ای تر عمل شده، این بدافزار اگه پیام تبلیغاتی نشون نمیداد تا سی سال هم هیچ کس از وجودش با خبر نمیشد.
با این وجود عرض میکنم تمای روش هایی که توی نت بهشون اشاره شده رو تا الان اجرا کردم و هنوز این مشکل برطرف نشده.
http://tabnak.ir/fa/news/533128/%d8%a7% ... 8%b3%d8%aa[/quote]
با این روش ها پاک سازی نمیشه دوست عزیز، من همه روش ها رو امتحان کردم. اینا و حتی پستی که خود مرکز ماهر گزاشته صرفا کپی سطحی از پست های خارجی هست.
اتک یا روی dns ها اعمال میشه یا بعضی سرورهای گوگل کامپرومایز شده.
ضمن اینکه تاکیدم روی روش حمله هست که بی تعارف نشون دهنده نسل جدیدی از تهدیدات میتونه باشه حتی از استاکسنت هم حرفه ای تر عمل شده، این بدافزار اگه پیام تبلیغاتی نشون نمیداد تا سی سال هم هیچ کس از وجودش با خبر نمیشد.
با این وجود عرض میکنم تمای روش هایی که توی نت بهشون اشاره شده رو تا الان اجرا کردم و هنوز این مشکل برطرف نشده.
-
mohammadktabriz
- پست: 740
- تاریخ عضویت: جمعه سپتامبر 06, 2013 2:04 pm
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="DISNA"]ضد ویروس چی استفاده میکنی ؟
نسخه اصلی و معتبر استفاده میکنی ؟
میتونی با بخش پشتیبانی شرکتی که ازش ضد ویروس رو خریداری کردی تماس بگیری تا بهت خدمات ارائه بدن .
پیشنهاد میکنم با ابزارهای ویروس یابی معتبری مثل ATTK یا Housecall یکبار سیستمت رو اسکن کنی .[/QUOTE]
می دونید داستان چیه! این dns unlocker ورژن های مختلف داره، این آموزش هایی هم که توی نت هست و مرکز ماهر هم گذاشته مربوط به اون نسخه ها هست که بدافزار توی سیستم کپی میشه.
اما در این حمله جدید فکر میکنم اصلا چیزی در سیستم کپی نمیشه بلکه از طریق حمله به DNS ها (احتمالا حمله به DNS های خود گوگل از طریق کش پویزنینگ یا متود های جدید) وقتی شما سایت هایی که گوگل آنالیتیکز دارن رو باز میکنید، آی پی مهاجم به جای سرور اصلی برگردونده میشه که در اسراییل هم هست و بعد از اون اسکریپتی به صفحه اینجکت میشه و باقی ماجرا.
الان من روی انرویدم هم همین اتفاق میفته، دیگه فرقی نداره کاربر از چه مرورگر یا سیستم عاملی استفاده میکنه، فقط کافیه سایتی رو باز کنه که گوگل آنالیتیکز داره.
نسخه اصلی و معتبر استفاده میکنی ؟
میتونی با بخش پشتیبانی شرکتی که ازش ضد ویروس رو خریداری کردی تماس بگیری تا بهت خدمات ارائه بدن .
پیشنهاد میکنم با ابزارهای ویروس یابی معتبری مثل ATTK یا Housecall یکبار سیستمت رو اسکن کنی .[/QUOTE]
می دونید داستان چیه! این dns unlocker ورژن های مختلف داره، این آموزش هایی هم که توی نت هست و مرکز ماهر هم گذاشته مربوط به اون نسخه ها هست که بدافزار توی سیستم کپی میشه.
اما در این حمله جدید فکر میکنم اصلا چیزی در سیستم کپی نمیشه بلکه از طریق حمله به DNS ها (احتمالا حمله به DNS های خود گوگل از طریق کش پویزنینگ یا متود های جدید) وقتی شما سایت هایی که گوگل آنالیتیکز دارن رو باز میکنید، آی پی مهاجم به جای سرور اصلی برگردونده میشه که در اسراییل هم هست و بعد از اون اسکریپتی به صفحه اینجکت میشه و باقی ماجرا.
الان من روی انرویدم هم همین اتفاق میفته، دیگه فرقی نداره کاربر از چه مرورگر یا سیستم عاملی استفاده میکنه، فقط کافیه سایتی رو باز کنه که گوگل آنالیتیکز داره.
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
سلام
این ویروس تنظیمات DNS سیستم را تغییر میده و به همین علت حتی بعد از پاک شدن خود ویروس، ممکنه تنظیمات سیستم شما به حالت اول برنگشته باشه.
۱- لطفا برنامه cmd را اجرا کنید. (با زدن کلید ویندوز+R و سپس نوشتن دستور cmd و اجرا)
۲- دستور زیر را بزنید و خروجی را برای ما ارسال کنید:
۳- برای ارسال خروجی میتونید تصویری که شامل کل خروجی بشود گرفته و ارسال کنید. (نحوه ارسال تصویر)
۴- همچنین این دستور را اجرا کنید:
۵- خروجی این دستور را نیز ارسال کنید.
ضمنا با توجه به مطالب موجود در وب، بعد از حذف خود ویروس و افزونههای نصب شده روی مرورگر و بازگرداندن تنظیمات DNS، لازم است که cache مرورگر را هم پاک کنید تا اثرات کاملا پاک شود.
این ویروس تنظیمات DNS سیستم را تغییر میده و به همین علت حتی بعد از پاک شدن خود ویروس، ممکنه تنظیمات سیستم شما به حالت اول برنگشته باشه.
۱- لطفا برنامه cmd را اجرا کنید. (با زدن کلید ویندوز+R و سپس نوشتن دستور cmd و اجرا)
۲- دستور زیر را بزنید و خروجی را برای ما ارسال کنید:
کد: انتخاب همه
ipconfig /all۴- همچنین این دستور را اجرا کنید:
کد: انتخاب همه
nslookup www.google-analytics.comضمنا با توجه به مطالب موجود در وب، بعد از حذف خود ویروس و افزونههای نصب شده روی مرورگر و بازگرداندن تنظیمات DNS، لازم است که cache مرورگر را هم پاک کنید تا اثرات کاملا پاک شود.
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="Naficy"]سلام
این ویروس تنظیمات DNS سیستم را تغییر میده و به همین علت حتی بعد از پاک شدن خود ویروس، ممکنه تنظیمات سیستم شما به حالت اول برنگشته باشه.
۱- لطفا برنامه cmd را اجرا کنید. (با زدن کلید ویندوز+R و سپس نوشتن دستور cmd و اجرا)
۲- دستور زیر را بزنید و خروجی را برای ما ارسال کنید:
۳- برای ارسال خروجی میتونید تصویری که شامل کل خروجی بشود گرفته و ارسال کنید. (نحوه ارسال تصویر)
۴- همچنین این دستور را اجرا کنید:
۵- خروجی این دستور را نیز ارسال کنید.
ضمنا با توجه به مطالب موجود در وب، بعد از حذف خود ویروس و افزونههای نصب شده روی مرورگر و بازگرداندن تنظیمات DNS، لازم است که cache مرورگر را هم پاک کنید تا اثرات کاملا پاک شود.[/QUOTE]
سلام نفیسی جان، این مورد رو هم بارها بررسی کردم، نه روی سیستم خودم و نه روی مودم به نظر نمیاد تغیراتی در DNS داده شده باشه، هم در سیستم خودم و هم بر روی مودم دو حالت اختصاص DNS سرور به صورت اتوماتیک و یا دستی بر روی سرور های 8.8.8.8 و 4.2.2.4 رو امتحان کردم، بازهم مشکل وجود داره. من خودم از adsl مخابرات استفاده میکنم نمیودم ISP های دیگه هم با این مشکل مواجه هستن.
فرمان nslookup هم چیز عجیبی نشون نمیده فعلا
این ویروس تنظیمات DNS سیستم را تغییر میده و به همین علت حتی بعد از پاک شدن خود ویروس، ممکنه تنظیمات سیستم شما به حالت اول برنگشته باشه.
۱- لطفا برنامه cmd را اجرا کنید. (با زدن کلید ویندوز+R و سپس نوشتن دستور cmd و اجرا)
۲- دستور زیر را بزنید و خروجی را برای ما ارسال کنید:
کد: انتخاب همه
ipconfig /all۴- همچنین این دستور را اجرا کنید:
کد: انتخاب همه
nslookup www.google-analytics.comضمنا با توجه به مطالب موجود در وب، بعد از حذف خود ویروس و افزونههای نصب شده روی مرورگر و بازگرداندن تنظیمات DNS، لازم است که cache مرورگر را هم پاک کنید تا اثرات کاملا پاک شود.[/QUOTE]
سلام نفیسی جان، این مورد رو هم بارها بررسی کردم، نه روی سیستم خودم و نه روی مودم به نظر نمیاد تغیراتی در DNS داده شده باشه، هم در سیستم خودم و هم بر روی مودم دو حالت اختصاص DNS سرور به صورت اتوماتیک و یا دستی بر روی سرور های 8.8.8.8 و 4.2.2.4 رو امتحان کردم، بازهم مشکل وجود داره. من خودم از adsl مخابرات استفاده میکنم نمیودم ISP های دیگه هم با این مشکل مواجه هستن.
فرمان nslookup هم چیز عجیبی نشون نمیده فعلا
کد: انتخاب همه
C:\Users\admin>nslookup [url]www.google-analytics.com[/url]
Server: UnKnown
Address: 192.168.1.1
Non-authoritative answer:
Name: www-google-analytics.l.google.com
Addresses: 2a00:1450:4007:80e::200e
216.58.208.238
Aliases: [url]www.google-analytics.com[/url]-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="DISNA"]سلام .
هر چند جواب سوالای منو ندادین . ( ظاهرآ ضد ویروس معتبر و اصلی ندارین .) پس آلوده شدن به این ویروسها کاملآ طبیعیه .
ولی تاکیدمون اینه با بخش پشتیبانی شرکتی که ضد ویروسش رو استفاده میکنین تماس بگیرین و تو این فاصله هم سیستمتون رو با ابزارهای معتبر ویروس یابی آنلاین مثل Housecall یا ATTK اسکن کنین .
--- ویرایش شده ---
How DNS Changer Trojans Direct Users to Threats[/QUOTE]
بله ضد ویروسم اوریجینال نیست، از ترایال کسپر استفاده میکنم و هر ماه ریسیتش میکنم. مشکل اینه که من فکر میکنم خیلی ها مثل بنده این مشکل رو دارن و یا داشتن اما خودشون خبر ندارن، اتفاقا من چون خیلی حساسم و همه چی رو چک میکنم متوجه وجود این مشکل شدم وگرنه کاربر عادی ممکنه مدت ها همچین مشکلاتی داشته باشه ولی خودش متوجه نباشه و فکر کنه در امنیت هست، هر چند واقعا دیگه حریم خصوصی معنایی نداره و باید کم کم باهاش کنار بیایم که همه، همه اطلاعات ما رو دارن.
هر چند جواب سوالای منو ندادین . ( ظاهرآ ضد ویروس معتبر و اصلی ندارین .) پس آلوده شدن به این ویروسها کاملآ طبیعیه .
ولی تاکیدمون اینه با بخش پشتیبانی شرکتی که ضد ویروسش رو استفاده میکنین تماس بگیرین و تو این فاصله هم سیستمتون رو با ابزارهای معتبر ویروس یابی آنلاین مثل Housecall یا ATTK اسکن کنین .
--- ویرایش شده ---
How DNS Changer Trojans Direct Users to Threats[/QUOTE]
بله ضد ویروسم اوریجینال نیست، از ترایال کسپر استفاده میکنم و هر ماه ریسیتش میکنم. مشکل اینه که من فکر میکنم خیلی ها مثل بنده این مشکل رو دارن و یا داشتن اما خودشون خبر ندارن، اتفاقا من چون خیلی حساسم و همه چی رو چک میکنم متوجه وجود این مشکل شدم وگرنه کاربر عادی ممکنه مدت ها همچین مشکلاتی داشته باشه ولی خودش متوجه نباشه و فکر کنه در امنیت هست، هر چند واقعا دیگه حریم خصوصی معنایی نداره و باید کم کم باهاش کنار بیایم که همه، همه اطلاعات ما رو دارن.
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
اینم میزارم برای دوستانی که علاقه مند به تحقیق بیشتر هستن ببینن چه اتفاقی میافته. مربوط به سایت karya.ir هست به عنوان نمونه.
به آی پی های 199.203.131.130 و 104.20.30.52 دقت کنید.
http://uplod.ir/a4pse2l6k2rc/CapturedData.cap.htm
من که دیگه کم کم دارم بیخیال میشم. چون فکر نمیکنم مشکل از سمت من باشه. اینم خیلی زرنگه، یه چند روز نا پدید میشه دوباره شروع میکنه به حمله، یه دو سه روزی هست خبری ازش نیست.
به آی پی های 199.203.131.130 و 104.20.30.52 دقت کنید.
http://uplod.ir/a4pse2l6k2rc/CapturedData.cap.htm
من که دیگه کم کم دارم بیخیال میشم. چون فکر نمیکنم مشکل از سمت من باشه. اینم خیلی زرنگه، یه چند روز نا پدید میشه دوباره شروع میکنه به حمله، یه دو سه روزی هست خبری ازش نیست.