كل ما تحتاج معرفته عن فيروس DNSChanger

في الثامن من شهر مارس (آذار) القادم سيقوم جهاز المباحث الجنائية الأمريكي بإيقاف خدمة أسماء النطاق على الخوادم التي قام بمصادرتها من مجموعة القراصنة الاستونيين ضمن ما يعرف بعملية “نقرة الشبح”. والتي تمّ فيها اعتقال المجموعة المسؤولة عن سلسلة الفيروسات الشهيرة والمعروفة ب DNSChanger. في هذا المقال سنتاول تعريفاً بهذا الفيروس وكيف يعمل، وماذا يعني ايقاف الخدمة على الخوادم المصادرة.

ما هو فيروس DNSChanger؟

فيروس DNSChanger هو فيروس يقوم بتغيير خادم نطاق الخدمة المعروف باسم DNS على حاسوب الضحية الى خادم يسيطر عليه مجرموا الانترنت من اجل سرقة بياناتهم، التجسس على عليهم، اونشر الفيروسات.

خدمة DNS

انظر الشكل التالي

 

عبد الله هو مستخدم انترنت منزلي، يحاول الوصول الى موقعه المفضل توتير، من أجل متابعة أخبار أصدقائه ومشاركة اخباره أو ما يهمه معهم. خادم اسماء النطاق لعبد الله يكون في العادة ما يزوده به مزوّد الخدمة الذي يوفر خدمة الانترنت لعبد الله. بدون خدمة اسماء النطاق على عبد الله حفظ العناوين الرقمية لكل موقع يزوره او يتابعه. فمثلاً، أحد العناوين الرقمية لموقع توتير هو 199.59.148.10. تشغيل لو كان على عبد الله حفظ هذا العنوان أو عنوان غوغل أوالجزيرة أو موقع الحماية العربي. من هنا تأتي أهمية هذه الخدمة، حيث أنها تتيح لعبد الله زيارة مواقعه المفضلة دون القلق على العناوين الرقمية التي تستخدمها.

في الشكل أعلاه، عندما قام عبد الله بكتابة https://twitter.com في متصفحه، قام المتصفح بإرسال الطلب خادم النطاق الذي يستخدمه عبد الله. يرد خادم النطاق على المتصفح بإعطائه العنوان 199.59.148.10 لتبدأ بعدها سلسلة اتصالات بين حاسوب عبد الله وموقع توتير.

فيروس DNS

في حال اصابة حاسوب عبد الله بفيروس DNSChanger، فإن الفيروس سيقوم بتغيير عنوان خدمة النطاق من خادم مزوّد الخدمة إلى خادم يسيطر عليه مجرموا الانترنت. كما في الشكل التالي

هنا عبد الله يقوم بطلب موقع توتير فيرد عليه خادم خدمة نطاق يسيطر عليه المجرمون حيث يقوم هذا الخادم بإرسال عنوان رقمي لخادم آخر يسيطر عليه المجرمون يظهر على أنه توتير فيقوم عبد الله بتسجيل دخوله ولكن في موقع توتير على خادم المجرمين وهو ما يمكنه من سرقة بيانات دخوله. قس على ذلك البريد الالكتروني والبنك الذي يتعامل معه…إلخ. كذلك يمكن للمهاجمين استغلال ثغرات على حاسوب عبد الله والسيطرة عليه بشكل كامل أو تثبيت برامج ضارة أو برامج تجسس عليه. من أصيب بهذا الفيروس لم يتمكن من الحصول على تحديثات أمنية لنظام تشغيله.

ما علاقة ذلك كله بما ستقوم به المباحث الأمريكية؟

بعد أن قامت المباحث الامريكية بالسيطرة على هذه الخوادم في شهر نوفمبر (تشرين الثاني)، قامت بالتعاون مع مؤسسة ISC المطوّرة لبرنامج خدمة اسماء النطاق الشهير BIND.  قامت المؤسسة بالرّد على طلبات خدمة اسماء النطاق للمستخدمين، وبهذا تمّ إعادة المستخدمين الى المواقع الاصلية بدل المواقع المشبوة.

في الثامن من الشهر القادم (مارس – آذار) ستتوقف هذه الخوادم عن العمل. وهو ما يعني أن أي حاسوب مصاب بالفيروس، لن يستطيع  تصفح الاانترنت أو زيارة أي موقع (طبعاً الا اذا كان يعرف العناوين الرقمية كما بينا اعلاه).

عناوين الخوادم التي تمّت السيطرة عليها هي

من                                     الى

77.67.83.1 77.67.83.254
85.255.112.1 85.255.127.254
67.210.0.1 67.210.15.254
93.188.160.1 93.188.167.254
213.109.64.1 213.109.79.254
64.28.176.1 64.28.191.254

ما الذي يبغي على المستخدمين القيام به؟

اذا كنت تستخدم نظام ويندوز اكس بي

1- اضغط على Start أو أبدأ
2- اذهب الى Run واكتب الامر cmd
3- في شاشة سطر الاوامر التي ستظهر اكتب الأمر ipconfig /all | findstr -i “dns”
4- اذا ظهر لديك أحد العناوين أعلاه فهذا يعني أن حاسوبك مصاب بهذا الفيروس. أفضل طريقة لتطهير حاسوبك هي اعادة تهيأته بعد عمل نسخة احتياطية لملفاتك الهامة.

اذا كنت تستخدم نظام ويندوز 7

1- اضغط على Start أو أبدأ
2- اكتب الامر cmd
3- في شاشة سطر الاوامر التي ستظهر اكتب الأمر ipconfig /allcompartments /all | findstr -i “dns”
4- اذا ظهر لديك أحد العناوين أعلاه فهذا يعني أن حاسوبك مصاب بهذا الفيروس. أفضل طريقة لتطهير حاسوبك هي اعادة تهيأته بعد عمل نسخة احتياطية لملفاتك الهامة.

اذا كنت تستخدم نظام ماك

1- اذهب الى System Prefrences
2- اذهب الى Network
3- وانظر الى العناوين الرقمية بجانب DNS Server
4- اذا ظهر لديك أحد العناوين أعلاه فهذا يعني أن حاسوبك مصاب بهذا الفيروس. أفضل طريقة لتطهير حاسوبك هي اعادة تهيأته بعد عمل نسخة احتياطية لملفاتك الهامة.

ملاحظة: قد يظهر عنوان ال DNS  لديك على شكل 192.168.1.1 هذا يعني أن موجه الانترنت لديك (الراوتر) هو ما يقوم بالخدمة وهو الذي يحتوي على العناوين التي تستخدمها. في هذه الحالة ادخل الى واجهة المستخدم التي تدير منها الموجه وقم بالبحث عن خوادم ال DNS التي يستخدمها الراوتر لديك.

الفحص عبر المتصفح

للفحص عبر المتصفح قم بزيارة أحد الصفحات التالية

http://dns-ok.us

http://dns-ok.de

http://dns-ok.fi

http://dns-ok.ax

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (9)

  1. مصطفى العيسائي قال:

    أخطأ المبرمجين عندما قاموا بتحويل الDNS لسيرفرات ثابتة, المفروض يكون الفيروس نفسه DNS Server ويقوم بتحويل طلبات الDNS للlocalhost والذي سيقوم بدوره بالرد على الIPs لعناوين ملغمة, بتلك الطريقة يمكنهم تحديث العناوين بسهولة عبر p2p أو أياً كانت طريقة تحديث الفايروس.. خيرها بغيرها!

  2. اسامه قال:

    السلام عليكم
    أستغرب أن يشتروا (6×254) عنوان IP بكل بساطة ولم يلتفت أحد لذلك

    وفي موقع f-secure يضعون معلومات عن الفيرس بعنوان IP
    مختلف. فهل هناك المزيد منها؟

    http://www.f-secure.com/v-descs/dnschang.shtml

  3. سيمو قال:

    يعطيك العافيه

    موضوع قيم ومهم

  4. brrain قال:

    بارك الله فيك ياصاحب المقال .. موضوع رائع ..

    من اين احصل نسخه على الفيروس ؟؟؟ وهل هو بصيغة exe ؟؟

  5. محمود قال:

    أشكرك يا كاتب المقال ..
    استفدت كثيراً من المقال الرائع ..
    تحيات 🙂

  6. faisal it hamou قال:

    شرح جد جيد ننتظر المزيد من ما يخص لفيروسات 🙂

  7. Zo-Dns قال:

    جيد اخي

  8. Nasser قال:

    طيب وهذا اذا امكن انك تفيدني عنه
    8.8.8.8, 8.8.4.4

أكتب تعليق