Comment sortir DNSChanger de votre routeur

DNSChanger

Aujourd'hui, le FBI a supprimé les serveurs malveillants gérant le trafic des ordinateurs et des systèmes infectés par le malware DNSChanger - et, malgré des mois d'avertissements, de nombreuses personnes utilisant des systèmes infectés ont été expulsées d'Internet par l'arrêt. (Certains des systèmes touchés sont un peu embarrassants: le système de transport en commun du New Jersey a apparemment été touché par l'arrêt de ce matin.)

Cependant, même si vos PC Windows sont exempts du malware DNSChanger (vous avez vérifié, non?), Il se peut que vous ayez toujours perdu la connectivité grâce à l'arrêt. Pourquoi? Parce que le logiciel malveillant, une fois bien installé sur un PC sans méfiance, comprenait également du code pour détecter et tenter de pénétrer dans tous les routeurs trouvés sur le réseau local. Si DNSChanger réussissait à entrer dans un routeur, le logiciel malveillant modifierait les paramètres DNS. Ainsi, même si DNSChanger est supprimé de l'ordinateur infecté d'origine, les paramètres DNS modifiés sur un routeur pourraient signifier n'importe quoi sur le réseau local - y compris les PC, Mac, smartphones, tablettes, consoles de jeux et téléviseurs intelligents - pourraient être affectés par le DNSChanger. fermer.

Comment fonctionne DNSChanger

clic fantôme

DNSChanger est l'œuvre de la société estonienne Rove Digital; il est apparu pour la première fois sur Internet en 2007, mais se propageait encore il y a quelques mois. Au lieu d'agir comme un logiciel espion ou d'analyser les ordinateurs des utilisateurs à la recherche d'informations sensibles, DNSChanger a modifié les entrées de serveur DNS dans les ordinateurs infectés (et, parfois, détecté des routeurs à proximité) pour pointer vers des serveurs de noms non autorisés sous le contrôle des auteurs du malware, plutôt que vers les serveurs DNS fournis par un FAI ou une organisation. Le résultat est que chaque fois qu'un utilisateur d'un système infecté recherche un site sur Internet (par exemple, www.digitaltrends.comouwww.netflix.com), la demande était modérée par les serveurs de Rove Digital - et cela leur permettait d'injecter leur propre publicité dans les pages récupérées par les utilisateurs infectés. Cela, à son tour, a généré des revenus pour Rove Digital - à son apogée, DNSChanger aurait infecté plus de 4 millions d'ordinateurs dans le monde et aurait généré jusqu'à 15 millions de dollars de faux revenus publicitaires pour Rove Digital.

L'arrêt du FBI signifie que ces serveurs de noms malveillants sont désormais hors ligne. Cependant, tous les ordinateurs ou routeurs qui ont été affectés par DNSChanger tenteront toujours de leur envoyer des demandes de recherche. À partir d'aujourd'hui, ils n'obtiendront aucune réponse, ce qui signifie que lorsque ces ordinateurs essaient de rechercher www.digitaltrends.com, ils n'obtiendront pas de réponse - et ils ne pourront pas se connecter au site.

Commencez par rechercher une infection

Vérification du changeur DNS rouge

Avant de regarder votre routeur, assurez-vous d'abord que tous les PC de votre réseau sont exempts du malware DNSChanger. Le logiciel malveillant n'est pas nouveau, donc si vous avez mis à jour vos définitions de virus, vous devriez être en sécurité. Cependant, assurez-vous de vérifier tous les PC que vous utilisez sur votre réseau local, même cet ancien ordinateur portable Windows XP dans un placard que vous ne mettez plus sous tension.

Le groupe de travail DNSChanger avait mis en place des sites Web de détection qui pouvaient immédiatement indiquer aux utilisateurs s'ils se trouvaient sur un PC (ou un réseau) touché par DNSChanger, mais depuis l'arrêt du FBI, ils ont été mis hors ligne. La meilleure façon de déterminer si un PC est maintenant infecté est d'utiliser un package de sécurité informatique à jour ou d'utiliser l'un des outils gratuits disponibles auprès de fournisseurs de sécurité réputés tels que Symantec, Microsoft, Kaspersky, Trend Micro, McAfee et d'autres pour supprimer le malware. (DNSChanger est une bête délicate: il ne suffit pas de réinstaller Windows ou de revenir à une sauvegarde pour le supprimer.)

Il est important de s'assurer que tous les PC de votre réseau sont exempts de DNSChanger avant d'essayer de résoudre les problèmes avec votre routeur: sinon, une infection DNSChanger active pourrait à nouveau perturber votre routeur.

DNSChanger est un malware uniquement Windows: il n'est pas nécessaire de rechercher une infection sur les Mac, téléphones, tablettes, consoles ou autres appareils non Windows que vous pourriez avoir sur votre réseau.

Vérifiez les paramètres DNS de votre routeur

Lorsque DNSChanger attaque les routeurs, il ne les infecte pas réellement , c'est-à-dire que le malware ne s'installe pas sur le routeur puis se propage du routeur vers d'autres appareils. Au contraire, il modifie les paramètres DNS sur les routeurs pour envoyer des requêtes de recherche via les serveurs de noms non fiables. Donc, vous voulez vous connecter à votre routeur, vérifier les paramètres et (si nécessaire) les changer en serveurs de noms fonctionnels;

Malheureusement, les spécificités de la recherche des paramètres DNS pour un routeur domestique varient considérablement selon le FAI et le type de réseau domestique que vous utilisez. Beaucoup de gens ont des réseaux domestiques très simples, mais d'autres sont plus compliqués. (Par exemple, mon réseau domestique a quatre routeurs - et tous ont des configurations bizarres, et pratiquement rien sur mon réseau n'utilise l'adressage dynamique.) Cependant, les bases sont toutes les mêmes:

Connectez-vous à votre routeur:  presque tous les routeurs modernes peuvent être configurés à l'aide d'une interface Web. Pour la plupart des routeurs domestiques D-Link et NetGear, les utilisateurs du réseau local peuvent accéder à la page de configuration ici:

//198.168.0.1/

Les routeurs Linksys sont souvent configurés pour utiliser:

//198.162.1.1/

La plupart des autres routeurs domestiques utilisent l'une de ces deux adresses par défaut; si aucune de ces adresses ne fonctionne, vérifiez les informations d'installation fournies avec votre routeur ou auprès de votre FAI.

Recherchez les paramètres DNS de votre routeur:  les interfaces Web proposées par les routeurs varient considérablement - et changent parfois considérablement avec les mises à jour. Une fois que vous êtes connecté au routeur, vous souhaitez généralement trouver une page ou un onglet pour «Paramètres de base», «Paramètres Internet», «Configuration Internet» ou «Paramètres WAN». Dans ce cadre, vous souhaitez rechercher des entrées pour «Serveurs de noms de domaine», «Serveurs DNS» ou «Configuration DNS».

Voici un exemple d'un ancien routeur LinkSys:

Serveurs DNS du routeur Linksys (DNSChanger)

Voici un exemple d'un routeur NetGear récent:

Serveurs DNS du routeur Netgear (DNSChanger)

Votre routeur peut être configuré pour obtenir automatiquement les informations DNS de votre FAI - cela est également appelé «DNS dynamique». Dans ce cas, vous n'avez rien à changer. (Tant que votre FAI n'est pas infecté par DNSChanger ou ne fournit pas de fausses informations, tout ira bien.)

Si votre routeur utilise une configuration DNS manuelle - ou «DNS statique» - vous devriez voir au moins deux emplacements pour accéder aux serveurs DNS - ceux-ci seront souvent étiquetés «primaire» et «secondaire». (Les routeurs et la plupart des autres périphériques sont configurés pour utiliser plusieurs serveurs DNS: au cas où l'un tomberait en panne, ils passeront à un autre.) Très probablement, ils seront exprimés dans quatre champs de texte, un pour chaque partie d'une adresse IP IPv4.

Vérifiez les valeurs:  comparez les valeurs du serveur DNS de votre routeur à cette liste:

64.28.176.0à64.28.191.255
67.210.0.0à67.210.15.255
77.67.83.0à77.67.83.255
85.255.112.0à85.255.127.255
93.188.160.0à93.188.167.255
213.109.64.0à213.109.79.255

Pour voir s'il y a une correspondance, commencez par le nombre le plus à gauche dans les adresses IP de votre routeur et parcourez l'adresse à droite. Par exemple, si l'un de vos serveurs DNS l'était 64.28.111.0, vous verriez que le 64correspond à la première plage d'adresses répertoriée ci-dessus. Vérification plus loin, les 28matchs aussi! Mais, le 111n'est pas dans la plage de 176 à 191 pour la troisième partie de l'adresse, vous êtes donc en sécurité. D'un autre côté, si les adresses de vos serveurs DNS commencent toutes les deux par (disons), 205vous n'avez pas besoin de vérifier davantage: aucun serveur non autorisé ne se trouvait dans la plage d'adresses 205.

(Si vous avez accès à Internet, vous pouvez également entrer les adresses DNS de votre routeur dans un service de recherche sur le site Web du FBI - il effectue la même vérification décrite ci-dessus.)

Mettez à jour vos serveurs DNS:  Si les serveurs DNS de votre routeur ne tombent dans les gammes ci - dessus, vous devez les changer pour rétablir l' accès Internet. Votre FAI doit avoir fourni des informations sur la configuration de votre routeur, y compris leurs serveurs DNS recommandés. Trouvez ces informations, entrez les bonnes adresses de serveur (il y en aura au moins deux!) Et enregistrez vos modifications.

Si vous ne trouvez pas les informations du serveur DNS de votre FAI, vous pouvez utiliser le service DNS gratuit de Google comme alternative: saisissez les adresses 8.8.8.8et en 8.8.4.4tant que serveurs DNS principaux et secondaires. Même si vous n'êtes pas à l'aise d'envoyer vos requêtes DNS à Google, l'utilisation des serveurs DNS de Google vous permettra au moins de remettre votre routeur en ligne afin que vous puissiez vous connecter à la zone d'assistance de votre FAI (ou les contacter directement) pour obtenir leurs serveurs DNS préférés. .

Changer le mot de passe de votre routeur

Comment DNSChanger a-t-il modifié les routeurs domestiques en premier lieu? La plupart des routeurs sont livrés avec un nom d'utilisateur et un mot de passe par défaut afin que les nouveaux utilisateurs puissent s'y connecter et les configurer lorsqu'ils les sortent de la boîte. Bien que les nouveaux routeurs aient des approches plus sophistiquées, à l'époque où DNSChanger est apparu pour la première fois, des millions de routeurs étaient envoyés hors des usines en utilisant seulement une poignée de noms d'utilisateur et de mots de passe. La plupart des utilisateurs à domicile n'ont jamais changé ces informations d'identification.Ainsi, lorsque le malware DNSChanger a trouvé un routeur domestique, il essaierait essentiellement les combinaisons de nom d'utilisateur et de mot de passe par défaut et espérait qu'il aurait de la chance.

Si les serveurs DNS de votre routeur ont été modifiés par DNSChanger, il a probablement utilisé l'un de ces mots de passe par défaut. Pendant que vous êtes dans la configuration du routeur, changez le mot de passe et (si possible) le nom d'utilisateur sur le routeur en quelque chose de plus sûr. Suivez les mêmes règles que vous utiliseriez pour tout autre mot de passe: n'utilisez pas de mots courants, n'utilisez pas de choses faciles à deviner comme les anniversaires ou les noms de parents ou d'animaux de compagnie, et utilisez des mots de passe longs plutôt que courts.