Client te 85.255.112.36 dns ıp sı almakta ,,,

Onun adı DNSChanger… 2005 yılında ortaya çıktı, milyonlarca bilgisayara, binlerce ağ(network)’a bulaştı… Verdiği zararlar çok sonraları tespit edilebildi.

Neredeyse çoğu kullanıcı onun, kendi bilgisayar sisteminde var olduğunu bile anlayamadı. Çünkü güncel ve bilinen güvenlik yazılımları ile antivirüs programları DNSChanger’ı tespit edemedi. Klasik zararlı yazılımlar gibi sadece Windows kullanıcılarına değil, MAC kullanıcılarına da bulaşarak kendi alanında efsane olmayı başardı.

İşte o efsane trojan (Zararlı yazılım) şimdi yenilenen ve güçlenen zararlı içeriği ile karşımıza tekrar çıktı.

DNSChanger ne yapıyor? Nasıl böyle bir zarar verebiliyor? Çalışma mantığı nedir?

DnsChanger sadece tekil bilgisayarlara değil, Ağa bağlı çalışan bilgisayarlara ve Ağ ortamlarına (Network) da zarar veriyor. Yeni versiyonda karşımıza daha da kötü ve acımasız olarak çıkan DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o bilgisayarların Ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.

Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web sitelerinin bire-bire kopyası (fake web sayfası) ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş oluyorlar.

Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Eğer profesyonel bir Bilgisayar kullanıcısı değilseniz yani sıradan bir kullanıcı iseniz, bahsi geçen DNS kayıtlarına bakmak tabii ki aklınıza gelmeyecektir.

Böylece bu sahte DNS’leri kullanarak mı yoksa gerçekten kendi İnternet Servis Sağlayıcınızın atadığı DNS kayıt numarası ile internete eriştiğinizi tabii ki bilemeyeceksiniz.

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan bakarsak, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin kurulum güvenlik ayarlarını, kurulum şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Çoğu kullanıcı, ADSL modem şifrelerini değiştirmeden, kurulumdaki olarak kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.

Yazının başında da belirttiğim gibi DnsChanger sadece Windows kullanıcılarını değil, MAC kullanıcılarını da etkileyerek kendi alanında farklılık yaratıyor ve bu’da trojanın ne kadar ciddiye alınması gerektiğini bir kere daha gösteriyor.

Peki DNSChanger’dan nasıl korunacağız ?

Şu an aktif olarak yayılmaya devam eden zararlıyı maalesef ki bir çok güncel güvenlik programı engelleyememektedir. Bunun için sistemizi Anti-Malware yazılımları ile taratmalıyız. Bu temizlik işlemini gayet başarılı yapan bir programı tavsiye ediyorum. RapidShare adresinden ilgili programı indirerek sisteminizi taratabilir ve temizleyebilir yada sistemizin güvenliğinden emin olabilirsiniz. Programın üretici firma adresine : www.malwarebytes.org adresinden ulaşabilirsiniz.

Fakat sole bırsey tespıt ettık , toplantı odasında dısardan gelen bır mısafırın notebook u bızım vlan a takıp kullandıgı zaman makınaların dns lerı degıstı , fakat o kısı network ten cıkınca sıstem normale dondu ,,

sızce kesınlıkle bı yerlerde o duzelen makınalarda varmıdır regıster kayıtlarında ozellıkle ..

 yoksa o kısı networke gırınce dhcp yı kandırıp dns ı kendı verıyordu , network ten cıkınca hersey normale mı dondu ??

http://www.geekstogo.com/forum/dns-changer-HELP-t218802.html

Bu adrestekileri adım adım uygulamak gerekecek..

Kolay gele

Merhaba ;

Benzer  bir sorunu  bende  bugun bır  musterımde fark ettım symantec Corporate Edition 10 var  updateleri  guncel ve  clientlarda  almıs  durumda ancak bazı  clientlar 88.248.231.33  IP sını Dns  olarak  alıyor normalde  otomatık ip al ve otomatık dns secili ama 1. dns ip si degısıyor Erdal Bey  verdıgınız linktekılerı  uyguladım  ayrıca Guncel spyware doctor ıle  tarama da  yaptım ancak sorun  duzelmedı ip yı sorgulattıgımda TT nin  blogundan bir IP adresi.

Clienttakı antiviruslerın updatelerını kontrol ettıkten  sonra Full scan yaptım hıcbırsey  bulamadı ayrıca Malwarebytes , SpywareBlaster , SuperAntispyware  ve  ayrıca Spyware Doctor Programları ile de Full scan  yaptım hıcbırsey  bulamadı  .

Trend Micro nun online scan ını kullandım oda  birşey bulamadı .

Teşekkürler.

http://www.geekstogo.com/forum/dns-changer-HELP-t218802.html

Bu adrestekileri adım adım uygulamak gerekecek..

Kolay gele