• DnsChanger: il trojan che attacca i DNS dei router

    Uno dei nuovi pericoli che viaggia in questi giorni nella rete si dirige in particolare verso i nostri cari apparecchietti posti sulla nostra scrivania, quelli che ci permettono di collegarci a Internet per leggere questo blog o per studiare, lavorare o divertirci.

    Proprio così, DnsChanger (con questo nome è stato battezzato il trojan) modifica le impostazioni del nostro router/modem. Nello specifico, riesce a cambiare le impostazioni dei DNS (i server che trasformano nomi host in indirizzi IP e viceversa).

    In questo modo, incanalando il traffico Internet verso un server ucraino, ogni sito Internet che visiteremo non sarà mai quello che vogliamo visitare, ma verrà reindirizzato a un sito di phishing, magari anche simile nell’aspetto a quello originale e creato appositamente per la truffa, o a un sito pericoloso perché contenente malware o codice malevolo non ben identificato.

    TrustedSource consiglia di controllare le impostazioni dei DNS, andando nel registro di sistema in corrispondenza del percorso “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”. Se si visualizza qualche indirizzo IP nelle chiavi di registro del tipo “85.255.*.*”, potrebbe essere un chiaro sintomo di infezione.

    In ogni caso non bisogna allarmarsi troppo. Il trojan non attacca tutti i modelli di router presenti sul mercato. Attualmente è in grado di modificare le impostazioni accedendo alle interfacce di configurazione di pochissimi modelli, il cui elenco è contenuto su un dizionario attualmente limitato. Ma gli analisti e gli esperti comunque avvertono che questo elenco potrebbe presto aumentare.

    Tags:

    Se vuoi aggiornamenti su DnsChanger: il trojan che attacca i DNS dei router inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. emmebi dice:

      Sì ma… le interfacce di amministrazione dei router non richiedono un login…

      Magari il barbatrucco è sfruttare chi il login se lo salva (?).

    2. webrino dice:

      Io ho risolto così:

      1- ho scaricato avenger 2.0
      2- ho usato lo script per avenger che ho trovato su http://www.alground.com/site/modules/cjaycontent/?cod_virus=310&id=3
      3- ho rimosso manualmente i tre file individuati in C:windowssystem32drivers (NB. ci sono arrivato guardando la data di modifica dei file, cioè tutti e tre avevano la data del giorno in cui è stato scaricato il trojan) ed esattamente:
      msqpdxmqltofxh.sys
      msqpdxserv.sys
      rcybrvaa.sys

      Ho riavviato il PC e il problema è stato RISOLTO!

    3. @ emmebi: si, quello potrebbe essere un modo… considera che spesso i dati del login non vengono cambiati dall’utente e rimangono quelli standard di fabbricazione del modem, che nella maggior parte dei casi sono sempre simili!

      @ webrino: grazie per averci indicato il metodo con il quale hai risolto… magari altri visitatori che hanno lo stesso problema potranno trovare un ottimo spunto per risolvere!

    4. andrew dice:

      @ webrino: mi dici come hai fatto a tovare gli script se su quel sito non riesce ad indirizzarmi?
      grazie

    Commenta

    Your email address will not be published. Required fields are marked *