本周，美國(guó)聯(lián)邦調(diào)查局(FBI)宣布將關(guān)閉與DNSChanger惡意軟件相關(guān)的服務(wù)器，這將使得感染到這種威脅的電腦有可能無(wú)法訪問(wèn)互聯(lián)網(wǎng)。為此，賽門鐵克提醒廣大用戶，特別是中小企業(yè)用戶應(yīng)立即采取必要的措施，以盡可能降低損失。

目前全球仍受DNSChanger感染的電腦數(shù)量至少有30萬(wàn)臺(tái)，這將給很多電腦用戶、尤其是中小企業(yè)帶來(lái)挑戰(zhàn)。中小企業(yè)對(duì)互聯(lián)網(wǎng)有很大依賴性，他們需要依靠互聯(lián)網(wǎng)來(lái)完全包括日常溝通、電子商務(wù)等工作，而“斷網(wǎng)”對(duì)于他們來(lái)說(shuō)，將是一個(gè)很嚴(yán)重的困擾。同時(shí)，由于中小企業(yè)通常沒(méi)有專門的IT人員，所以DNSChanger帶來(lái)的問(wèn)題可能會(huì)給他們?cè)斐蔀?zāi)難性的影響，除非，他們采取正確的防范措施。被稱為DNSChanger的惡意軟件已經(jīng)見(jiàn)諸報(bào)端，并且引起了業(yè)界的持續(xù)關(guān)注。賽門鐵克提醒廣大用戶：如果不及時(shí)采取行動(dòng)的話，就可能面臨“斷網(wǎng)”的危險(xiǎn)。

一位對(duì)此感到擔(dān)心的賽門鐵克用戶最近向“賽門鐵克安全響應(yīng)中心”提出了一些問(wèn)題：比如，這種威脅是怎樣運(yùn)作的，這種惡意威脅對(duì)他或其他用戶將帶來(lái)哪些危害意等若干問(wèn)題。賽門鐵克在此與大家進(jìn)行分享，希望廣大用戶能對(duì)此威脅有深入的了解，并能在必要時(shí)采取防范措施。

用戶： DNSChanger是什么?

賽門鐵克安全響應(yīng)中心：它是一個(gè)能夠改變受感染電腦上的域名系統(tǒng)(Domain Name System, DNS)設(shè)置的惡意軟件，由此而得名。

用戶：DNS設(shè)置是什么?它是怎樣發(fā)揮作用的?

賽門鐵克安全響應(yīng)中心：DNS是一種互聯(lián)網(wǎng)服務(wù)，它能將用戶友好的域名轉(zhuǎn)換成電腦用來(lái)彼此通信的數(shù)字式互聯(lián)網(wǎng)協(xié)議(IP)地址。當(dāng)您在自己的網(wǎng)頁(yè)瀏覽器地址欄中輸入一個(gè)域名時(shí)，您的電腦會(huì)與DNS服務(wù)器聯(lián)系，確定該網(wǎng)站的IP地址。然后，您的電腦將利用這個(gè)IP地址來(lái)定位和聯(lián)接該網(wǎng)站。DNS服務(wù)器由互聯(lián)網(wǎng)服務(wù)提供商(ISP)來(lái)運(yùn)行，已經(jīng)列入在您的電腦的網(wǎng)絡(luò)配置中。

圖1：域名系統(tǒng)(DNS)的工作原理

用戶：那么DNSChanger是如何進(jìn)行攻擊的呢?

賽門鐵克安全響應(yīng)中心：通過(guò)改變一臺(tái)電腦的DNS設(shè)置，惡意軟件的作者們能夠控制某臺(tái)電腦與互聯(lián)網(wǎng)上的哪些網(wǎng)站相聯(lián)接，能夠迫使某臺(tái)受影響的電腦去聯(lián)接一個(gè)“欺詐網(wǎng)站”，或者把該電腦從一個(gè)本想去訪問(wèn)的網(wǎng)站引開(kāi)。為了做到這一點(diǎn)，惡意軟件作者需要用惡意代碼去感染電腦，在該案例中，這種惡意代碼就是DNSChanger。一旦某臺(tái)電腦了感染這種惡意代碼，惡意軟件便會(huì)將DNS設(shè)置從ISP的合法DNS服務(wù)器地址修改成“流氓DNS服務(wù)器地址”。

圖2： DNSChanger的工作原理

用戶：賽門鐵克能保護(hù)我們不受這一威脅的影響么?

賽門鐵克安全響應(yīng)中心：是的，賽門鐵克檢測(cè)出這一威脅為Trojan.Flush.K，它最初名叫Trojan.Dnschanger。而且，我們的追蹤監(jiān)測(cè)從2007年1月開(kāi)始就進(jìn)行了。

用戶：這也許是個(gè)愚蠢的問(wèn)題，但我想知道為什么這些攻擊者想將我引導(dǎo)到惡意服務(wù)器上?

賽門鐵克安全響應(yīng)中心：實(shí)際上這是一個(gè)很好的問(wèn)題，但其答案卻很簡(jiǎn)單：利益驅(qū)使。Kevin Haley寫(xiě)了一篇關(guān)于網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)以及他們是怎樣進(jìn)行這種犯罪的博文，http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted。

用戶：這一惡意軟件和這種網(wǎng)絡(luò)犯罪有多長(zhǎng)時(shí)間了?事實(shí)上，Kevin Haley說(shuō)，那些惡意攻擊者在去年年底就被FBI抓住了!

賽門鐵克安全響應(yīng)中心：是的，沒(méi)錯(cuò)。實(shí)際上FBI有一篇關(guān)于Operation Ghost Click的好文章，是關(guān)于如何抓獲這一犯罪團(tuán)伙的調(diào)查工作的，值得一讀。

用戶：那么為什么現(xiàn)在他們還這么猖獗?

賽門鐵克安全響應(yīng)中心：我很高興您問(wèn)這個(gè)問(wèn)題。FBI曾通過(guò)法庭命令要求“互聯(lián)網(wǎng)系統(tǒng)聯(lián)盟”(ISC)部署和維持安全的DNS服務(wù)器，來(lái)代替由惡意攻擊者運(yùn)行的“流氓DNS服務(wù)器”，以便給使用被感染電腦的用戶留出足夠的時(shí)間來(lái)清除該威脅。然而，這只是一個(gè)臨時(shí)性解決方案，由ISC依照法庭命令運(yùn)行的服務(wù)器將在2012年7月9日被關(guān)閉。一旦這種情況發(fā)生，仍然被感染的電腦將失去互聯(lián)網(wǎng)連接，可能引起大面積的“斷網(wǎng)”。

用戶：那么，被這種威脅所感染的電腦是不能訪問(wèn)某些網(wǎng)站，還是所有網(wǎng)站呢?

賽門鐵克安全響應(yīng)中心：不，是不能訪問(wèn)所有網(wǎng)站。將失去互聯(lián)網(wǎng)連接。如果您的電腦在7月9日仍然在使用指向FBI服務(wù)器的DNS條目，那么您將徹底不能訪問(wèn)互聯(lián)網(wǎng)：不能從家里連接辦公室，不能更新Facebook內(nèi)容，在DNS設(shè)置修復(fù)之前什么都不能做。

用戶：我怎樣才能弄清我的電腦是否被DNSChanger感染?

賽門鐵克安全響應(yīng)中心：一個(gè)名叫“DNSChanger 工作組(DCWG)”的特別行動(dòng)小組已經(jīng)成立，來(lái)幫助人們確定他們的電腦是否已被這一威脅感染，同時(shí)也幫助他們清除該威脅。用戶可訪問(wèn)由DCWG維護(hù)的DNS Changer Check-Up頁(yè)面，以確定其電腦是否被感染。也有由DCWG的Detect 頁(yè)面上所列的其他機(jī)構(gòu)所維護(hù)的采用各種不同語(yǔ)言的其他頁(yè)面。各種不同機(jī)構(gòu)也在主動(dòng)告知用戶他們的電腦是否被DNSChanger感染。FBI還編寫(xiě)了關(guān)于怎樣手動(dòng)確定一臺(tái)電腦是否被感染的說(shuō)明，請(qǐng)點(diǎn)擊：http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf。

除了檢測(cè)惡意代碼外，被DNSChanger感染的賽門鐵克和諾頓客戶，還可以通過(guò)我們配有的一個(gè)被稱為SecurityRisk.FlushDNS的檢測(cè)系統(tǒng)的終端產(chǎn)品進(jìn)行檢測(cè)。

用戶：為什么賽門鐵克的產(chǎn)品不能自動(dòng)為用戶修復(fù)DNS設(shè)置?

賽門鐵克安全響應(yīng)中心：賽門鐵克的產(chǎn)品不能恢復(fù)某臺(tái)被感染電腦上的DNS設(shè)置，是因?yàn)槲覀儫o(wú)法知道其原始設(shè)置是什么。

用戶：賽門鐵克還有什么措施可以避免我們受到類似威脅呢?

賽門鐵克安全響應(yīng)中心：我們有自己的DNS服務(wù)器，通過(guò)相應(yīng)的配置他們可以阻攔不安全的網(wǎng)站。這種產(chǎn)品被稱為Norton ConnectSafe，相當(dāng)不錯(cuò)，而且完全免費(fèi)，詳情點(diǎn)擊：https://dns.norton.com/dnsweb/homePage.do