Den 9 juli kan ditt Internet sluta fungera, om du blivit infekterad av en trojan som kallas för DNS Changer, som ligger bakom botnätet Ghost Click. Förra gången jag skrev om DNS Changer var datumet satt till 8 mars, men FBI verkar ha flyttat fram det.
FBI slog till mot esterna bakom trojanen DNS Changer redan i slutet av förra året, och tog då kontrollen över de servrar som de infekterade datorerna var beroende av för att komma åt domännamn – och då i praktiken tillgång till Internet. Nu vill man inte sköta om servrarna längre eftersom det blir för dyrt.
DNS Changer är en botnät-trojan som infekterat, och kapat, miljontals datorer världen över. Alla infekterade datorer har blivit så kallade zombies i en botnät, ett slags virtuellt nätverk som gått under namnet Ghost Click och som kontrollerats av ett gäng ester.
Sådana här nätverk kan användas till allt möjligt, såsom att skicka ut skräppost, genomföra DoS-attacker, eller stjäla information från de infekterade datorerna.
DNS-servrarna ändras, domäner pekar fel
Det största problemet med DNS Changer är att det ändrar datorns DNS-servrar till att använda sådana som kontrollerats av trojanens skapare. DNS-servrar är de som gör om domännamn till IP-adresser, och de flesta av oss använder som regel vår Internetoperatörs DNS:er, alternativt OpenDNS eller någon liknande tjänst.
Genom att kontrollera DNS-servrarna kan man styra om trafiken bäst man vill. När du knappar in en domänadress skickas en förfrågan till DNS-servern, som returnerar ett IP-nummer. DNS Changer har då kunnat returnera ett IP-nummer till en annan sajt än den du vill besöka – förslagsvis en sajt med en massa skum reklam, och som är infekterad av annan skadlig kod.
Få användare att byta tillbaka
När FBI slog till mot esterna bakom Ghost Click-nätverket valde man att inte bara släcka ner DNS-servrarna eftersom miljontals datorer då inte längre skulle kunna komma åt Internet. Istället satte man upp nya legitima DNS:er på servrarna och började sedan försöka få de drabbade användarna att radera viruset och återställa till sina ursprungliga DNS-inställningar.
Nu har det visat sig vara rätt svårt att få användare att göra det här. Därför har man fått driva servrarna rätt länge, men det är inte gratis att sköta om dem. Därför kommer man att den 9 juli släcka ner dem helt. De datorer som fortfarande är infekterade av DNS Changer kommer då inte komma åt Internet.
På sajten DNS Changer Check-Up kan du kontrollera om din dator är infekterad av trojanen. Det räcker att besöka sajten för att få reda på huruvida datorn är kapad.
Enligt säkerhetsexperten Anders Nilsson, i en artikel hos Aftonbladet, kan tusentals svenskar vara infekterade av DNS Changer. Det är inte orimligt att anta. Enligt Cert finns det en hel del infekterade datorer i Sverige. Om du skulle ha råkat ut för det här, kan du läsa min artikel om att ta bort virus.
