วิธีการตรวจสอบและแก้ปัญหามัลแวร์ DNSchanger



      ในวันที่ 9 ..55 FBI ได้ปิดแม่ข่าย DNS (โดเมนเนมเซิฟเวอร์) ที่ผู้ใช้งานอินเตอร์เน็ตบางส่วนต้องพึ่งพาในการเข้าถึงอินเตอร์เน็ต เดิมแม่ข่ายตัวนี้เป็นส่วนหนึ่งของการหลอกลวงทางเครือข่าย ที่พัฒนาโดยชาวเอสโตเนียน และแจกจ่ายมัลแวร์ ชื่อว่าDNS changer” ซึ่งทาง FBI ตรวจพบและได้จับกุม และเปลี่ยนให้เป็นบริการที่ถูกต้อง
      ซึ่งมัลแวร์ตัวนี้ ได้แพร่ขยายตัวอย่างรวดเร็ว แม้กระทั่งบริษัทใหญ่อย่าง กูเกิล และเฟซบุ๊ก รวมทั้งเครือข่ายผู้ให้บริการอินเตอร์เน็ต ได้ร่วมมือกันแก้ไขปัญหา โดยออกระบบแจ้งเตือนมิลแวร์ตัวนี้เพื่อเตือนผู้ใช้งานอินเตอร์เน็ตให้ทราบ
      ถ้าเราเห็นข้อความแบบนี้หรือคล้ายกัน ตอนที่ใช้กูเกิ้ลหรือบริการอื่นๆ, เราควรจะตรวจสอบว่าคอมของเราถูกมัลแวร์เล่นงานเข้าแล้วหรือเปล่า

      ถ้าเราได้รับการแจ้งเตือนขณะใช้กูเกิลค้นหาข้อมูล, เล่นเฟซบุ๊ก หรือบริการอื่นๆ แล้วมีข้อความแจ้งเตือน เราก็ควรจะพิจารณาตรวจสอบระบบของเราว่ามีปัญหาหรือไม่ ซึ่งสามารถทำได้ 2 วิธี คือ ตรวจสอบ DNS การตั้งค่า เพื่อดูว่าแม่ข่ายอินเตอร์เน็ตของเราเป็นส่วนหนึ่งของมัลแวร์หรือไม่ ?
       ถ้าเป็นเครื่อง Mac เปิดไปที่เครือข่าย (Network) และไล่ดูตามช่องเครือข่าย Wi-Fi, แลน, บลูทูธ ฯลฯ คลิกเลือกบริการ จากนั้นไปที่แท็บAdvanceเลือกDNS” แท็บ และจดบันทึกรายการ DNS, เราสามารถตรวจสอบอีกแบบได้จากคำสั่งCommand



      ตรวจสอบที่อยู่ของบริการเครือข่าย เพื่อดูการกำหนดค่าของ DNS ในโอกาส Max network setup – listallnetworkservices
      หลังจากรันคำสั่งนี้แล้ว ต่อไปให้รันคำสั่งของแต่ละรายการ (ไม่ต้องมี *) ในด้านหน้าของชื่อ และมั่นใจว่าชื่ออยู่ในเครื่องหมาย “ ” ถ้ามีระยะห่างของชื่อ
      Network setup – gotdnsservers Service nameทำซ้ำกับทุกรายการ โดยเฉพาะอย่างยิ่งการ์ดแลน (Ethernet และ Wi-Fi)
      สำหรับผู้ใช้งานวินโดว์ เราสามารถไปที่คำสั่งRunเพื่อรันคำสั่งตรวจสอบจาก Start menu แล้วใส่CMDจากนั้นก็ไล่ตรวจสอบแต่ละรายการของเครือข่าย รวมทั้งการตั้งค่า DNS หมายเลข IP
      วินโดว์ SNS เซิฟเวอร์ จะแสดงค่าการตั้งค่าในคำสั่งแต่ละแถว Ipconfig -all

      เมื่อเราทราบข้อมูลของระบบ DNS แม่ข่ายของเราแล้ว ให้เราไปที่เว็บไซต์ของ FBI IS DNS เว็บไซต์ แล้วกรอกข้อมูลลงไป เพื่อตรวจสอบว่าเป็นส่วนหนึ่งของมัลแวร์หรือไม่ นอกเหนือจากการตรวจสอบแบบนี้แล้ว ยังมีหลายเว็บไซต์ที่ให้บริการตรวจสอบ DNS ซึ่งจะแสดงขึ้นมาให้เราเลือกเข้าไปตรวจสอบได้
      ถ้าผลการตรวจสอบแล้วปกติ ก็ไม่มีอะไรน่าห่วง เว้นแต่ว่ามีข้อความแจ้งเตือน เราก็ควรจะใช้โปรแกรมป้องกันมัลแวร์ ในการสแกนและกำจัดมัลแวร์ อย่างที่ทราบว่า มัลแวร์ ถูกปิดลงในปลายปี 2011 อย่างไรก็ตาม โอกาสที่จะติดมัลแวร์อาจจะมีอยู่ เราควรอัพเดทบ่อยๆ และรันสแกนแบบ full scan กับทุกเครื่องคอมพิวเตอร์ในเครือข่ายของเรา รวมทั้งตรวจสอบเร้าเตอร์ อินเตอร์เน็ต ว่าค่า DNS มีการตั้งค่าถูกต้องตามที่ผู้ให้บริการกำหนดหรือไม่
      ถ้าเร้าเตอร์ หรือคอมพิวเตอร์ ของเราไม่แสดงหมายเลข DNS ที่ถูกต้อง หลังจากที่เราได้รีมูฟ มัลแวร์ ออกไปแล้ว และระบบของเราก็ยังไม่สามารถออกสู่อินเตอร์เน็ตได้ เราอาจจะต้องพยายามตั้งค่าบริการสาธารณะ DNS เช่น จากระบบเปิด DNS และกูเกิล โดยการใส่หมายเลข IP เหล่านี้ เข้าไปใน Network
      8.8.8.8
      8.8.4.4
      208.67.222.222
      208.67.220.220
      ถ้าเราพบว่าคอมของเราเข้าเน็ตไม่ได้ตามปกติ ก็มีความเป็นไปได้ที่ระบบเครือข่ายของเราจะโดนมัลแวร์ DNS เล่นงานเข้าแล้ว ซึ่งเราต้องพยายามตรวจสอบและกำจัดมันออกไป โชคดีที่มัลแวร์ไม่แพร่กระจายตัวเองแบบอัตโนมัติ เมื่อตรวจพบและกำจัดแล้ว ก็กำหนดค่าใช้งาน DNS ที่ถูกต้อง เราก็สามารถเล่นเน็ตได้ตามปกติ
      ความเป็นมาของ มัลแวร์ DNS
      DNS ย่อมาจากDomain Name Systemซึ่งทำหน้าที่คล้ายๆ กับ สมุดโทรศัพท์ และทำหน้าที่แปลง Urls หรือที่อยู่เว็บไซต์ เช่น www.google.com ให้เป็นรูปแบบตัวเลข IP ที่คอมพิวเตอร์ และเร้าเตอร์ เข้าใจ และเชื่อมต่อกันได้ ซึ่งเป็นจุดอ่อนให้มัลแวร์ใช้หลอกลวงผู้ใช้เว็บไซต์ ให้ไปยังเว็บไซต์หลอกลวงที่สร้างขึ้นมาเฉพาะ ในการขโมยข้อมูล หรือ คลิกโฆษณา
      การตั้งค่า DNS อย่างเดียวไม่เพียงพอ เพราะว่า เครือข่ายจะต้องระบุการตั้งค่าของคอมแต่ละเครื่องด้วย ซึ่งการทำแบบนี้ พวกพัฒนามัลแวร์ก็ได้สร้างมัลแวร์ ที่ชื่อว่า DNS changer มัลแวร์เปลี่ยน DNS ขึ้นมา” (ซึ่งรู้จักในชื่ออื่นๆ เช่น Rsplog. Puper และ Jahlav) มัลแวร์เหล่านี้จะอยู่ในรูปของหนอนไวรัสโทรจัน และติดเข้ากับคอมพิวเตอร์จำนวนนับล้านเครื่องทั่วโลก
      บทสรุป
      - คงเป็นหน้าที่ของผู้ดูแลระบบ หรือ Admin ในการให้คำแนะนำสำหรับผู้ใช้งาน รวมทั้งแก้ปัญหาในขั้นต้น หากได้รับผลกระทบจากมัลแวร์ DNS changer
      - สำหรับหน่วยงานที่ใหญ่ขึ้นไป เช่น ISP (Internet Service grovel) ก็เป็นภาระหน้าที่ในการป้องกัน และให้คำแนะนำลูกค้า เพื่อให้สามารถเล่นเน็ตได้ตามปกติ
----------------------------------

Post a Comment