Le FBI a décidé de passer à l’étape supérieure et affirme avoir pris le contrôle des serveurs utilisés par le code malveillant et envisage de les fermer d’ici au 8 mars prochain.
Les conséquences d’une telle fermeture seraient importantes puisque ce sont des millions d’utilisateurs qui, à leur insu, utilisent ces serveurs afin de se connecter à l’internet.
Pour rappel, DNSChanger est un Cheval de Troie qui modifie la façon dont l’utilisateur cible se connecte à internet en modifiant une ou plusieurs clés du registre afin de rediriger le routeur de l’utilisateur sur des serveurs DNS chargés ensuite d’espionner ces derniers, mais aussi les rediriger vers du contenu illégal.
Des solutions existent sur la toile afin de savoir si vous êtes concernés par ce blackout potentiel, le site DNS-OK vous permettra en vous connectant de savoir si votre fichier Host a été modifié ou non.
Par ailleurs, le CERT vous fait également part de ses recommandations :
Surveiller et/ou filtrer le trafic DNS à destination des serveurs malveillants. La grande majorité de ces serveurs se situe actuellement sur le réseau 85.255.112.0/20. Une sécurité optimale peut être obtenue en interdisant complètement les requêtes DNS vers des serveurs externes, sauf éventuellement dans des cas exceptionnels (comme les postes nomades).
Vérifier périodiquement la configuration DNS des systèmes de l’entreprise. Cette tâche peut facilement être automatisée par le système de déploiement des mises à jour (comme le système de gestion de mises à jour SMS de Microsoft) et l’utilisation de scripts.
Utiliser de préférence un compte aux droits limités afin d’empêcher l’installation de tout nouveau pilote réseau.
Rechercher dans les journaux des antivirus des noms comme DNSCHAN, DNSChanger, Puper, RSPLUG, Trojan.Flush.*.
Utiliser des systèmes de distribution de configuration réseau plus sécurisés que DHCP, par exemple des systèmes impliquant une authentification préalable.Enfin, n’exécuter des applications que lorsqu’elles proviennent de sources sûres (il s’agit d’une recommandation habituelle). Pour rappel, toutes les variantes de DNSChanger sont des chevaux de Troie, autrement dit, le code malveillant ne peut être installé qu’à la suite d’une action de l’utilisateur.
Selon le FBI, ce serait près de 4 millions d’utilisateurs qui seraient concernés et même si les chiffres pour la France ne sont pas connus, de simples mesures préventives sont les bienvenues.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“Pour rappel, DNSChanger est un Cheval de Troie qui modifie la façon dont l’utilisateur cible se connecte à internet en modifiant le fichier Host”
😕
Le fichier hosts n’a rien avoir avec ça: c’est une clé de la base de registre qui est modifiée.
CF: http://www.f-secure.com/v-descs/dnschang.shtml
“The trojan is usually a small file (about 1.5 kilobytes) that is designed to change the ‘NameServer’ Registry key value to a custom IP address. “
Skynet ? 😀
@coolRaoul je n’ai pas eu uniquement cette information : http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/VersVirusetAntivirus/DNSChanger/
“des millions”, “4 millions”, … Faut arrêter d’être alarmiste. 4 millions, c’est le nombre maximum estimé d’infectés durant toute l’activité du trojan. En aucun cas le nombre de machines infectées actuellement.
Soundwave… MAis que font les autobots?! >:/
@Kernald je suis de ton avis, mais la langue française m’oblige à accorder les millions sans vouloir être alarmiste quoiqu’il en soit 🙂
Mais que fait hadopi ?? 🙂
Tout est bien expliqué ici http://www.dns-ok.be/dnschanger_fr.html 😀
@mpolo rien comme d’hab ! …
@moe: Coolraoul a raison. Le précurseur est Qhost, un malware qui tripotait le fichier host. Mais DNSchanger ne travaille que sur les IP des DNS pour rediriger les machines infectées. Ces deux véroles n’ont rien à voir l’une avec l’autre, excepté le fait qu’il s’agit de rediriger la navigation vers des sites douteux.
ON VA TOUS MOURIR…. 😛
@molser13 @coolRaoul J’ai modifié l’article en conséquence merci du complément d’informations et de la correction.
Il reste une petite correction à faire:
“savoir si votre fichier Host a été modifié ou non”
D’ou l’utilité que tout monde abandonne Windows et ça base de registre moisi du slip ! : )
Si seulement…
Raaaah la base de registre le coeur du systeme ouvert a tout les vents mais bon ca devrais changer il on deja pique l’user a droits limite avec elevation ponctuelle de privilége a linux donc ca devrais venir.
Sérieusement, vous avez fait des recherches avant de publier cet article? Vous avez également analysé le code du site dns-ok? Pour info, j’avais juste envie de rigoler un coup alors j’ai infecté une machine de test puis je suis passé sur ce site, outch, j’suis vert…
Nan, franchement, le JDG deviens un site de copier/coller de news sans même contrôler si ces dernières sont vraies, c’est ça l’information?..
Canard Pimpant : oui bien sur…
allez demain on passe tous a un autre OS et je file 1000 € a Canard Pimpant si on a pas un trojan du même genre dans les 48h a venir… -_-
des failles il y en a dans tout les OS, et surtout dans toutes les interfaces clavier chaise…
strange fbi ? vous avez dit strange …
4 000 000 de machines infectées (si les données sont exactes) alors que l’on compte environ 2 000 000 000 milliards de machines à l’heure actuelle.
Soit 0.20%…
4 millions c’est un chiffre certes important mais ramené au niveau mondial…
Et le blackout concernera que les machines infectées donc tant pis pour ceux qui n’ont pas su ce protégé, car c’est toujours l’utilisateur le meilleur anti-virus
@timoadia : “2 000 000 000 milliards” 😕
@ shin-ichi
J’ai pensé la même chose ^^
Scharzi au secours.
Je l’es déjà eu au boulot, un bon coup de comboxfix et c’est repartis =)
[mode parano] Peut-être est-ce simplement un test de ce qu’ils envisagent de faire dans un avenir proche [/mode parano] 😕
@TK: Mais tout le monde n’est pas ingé système et tout le monde a le droit de se gourrer. C’est pour ça que tu peux dire les choses sans agresser le rédacteur, parce qu’un jour ou l’autre on est tous le con de quelqu’un. Toi par exemple, avec ton com plein de fautes et de haine, t’es un peu notre bouffon sur cet article. Tu fais genre style “j’suis trop au top” mais en fait tout le monde s’en fout. Ce qui nous intéresse c’est l’article et éventuellement faire remarquer une coquille pas bien importante. Ce qui serait vachement intéressant, TK, c’est que tu nous expliques comment le FBI a pris la main sur les DNS en question, comment ils vont s’y prendre pour s’assurer que ça ne redémarrera jamais et qui contrôlait ces DNS et pour en faire quoi.
@Canard Pimpant : Je sais que c’est un troll mais j’y répond quand même : tout système ayant une part de marché de 90% aurait les même problèmes de sécurité. Là sont exploités la base de registre de Windows, le fichier Host etc… Si MacOS ou Linux étaient leader sur le marché, leurs failles à eux seraient découvertes et exploitées. D’ailleurs, ces petits délinquants commencent à s’intéresser à MacOS et Androïd.
@fsfactor: Il n’y a pas de tréma à Android. 😉