Programme malveillant modifiant mes DNS


2

Il y a quelques semaines, j'ai commencé à avoir des problèmes avec ma connexion Internet, elle était extrêmement lente et soudainement, certains sites Web (notamment Gmail, Facebook, YouTube et Twitter) ont commencé à ne pas se connecter, alors que les autres se connectent normalement. Quelques jours après, ces mêmes sites Web ont commencé à me montrer un message en portugais: "Nouvelle évaluation des disponibilités" à chaque fois que j'essayais de me connecter et qu'un fichier .exe commençait à se télécharger ("internet_update.exe" ou quelque chose du genre.).

C'est quand j'ai paniqué! C'était vraiment un virus ou quelque chose comme ça, mais c'était vraiment bizarre parce que je n'ai jamais eu un problème comme ça (je tourne sous Linux). J'ai donc allumé mon ancien PC (sous Windows XP) et il s'est avéré qu'il avait le même problème! le même message était affiché chaque fois que j'essayais de connecter l'un de ces sites Web spécifiques, le reste étant chargé sans problèmes. Même dans mon smartphone Android, le même message a été montré.

Il était donc évident que le problème ne concernait pas une machine particulière, mais le routeur lui-même. J'ai donc commencé à googler et j'ai trouvé des informations . Malheureusement, je n'en ai trouvé que quelques-unes en espagnol. Je vais donc vous faire un bref résumé:

Il s’agit d’un nouveau cheval de Troie bancaire spécialement mis au point pour infecter et collecter des informations auprès des banques brésiliennes. Apparemment, il s'est maintenant étendu à l'Argentine et au Pérou.

Alors, comment ça marche? Il se propage via les réseaux sociaux (vidéos, liens, ...), puis "prend le contrôle" de votre connexion Internet en modifiant les valeurs de vos DNS. Plus précisément, il change le DNS principal en l’une des adresses IP suivantes: 108.170.13.38, 66.7.216.122 ou 63.143.43.154 et le DNS secondaire en 8.8.8.8, ce DNS secondaire est en fait le DNS public de Google . Il est configuré de cette manière. afin que votre connexion Internet continue de fonctionner correctement et que l'utilisateur ne remarque rien.

La partie importante ici est qu’aucun antivirus ne remarquera de changement, car aucun téléchargement ou installation n’a été effectué sur votre ordinateur. Une fois que vos DNS ont été modifiés, le cheval de Troie contrôle chaque site Web auquel vous vous connectez, ce qui leur permet de voler vos informations bancaires.

Après avoir pris connaissance de cette information, j’ai accédé à mon routeur et rétabli les valeurs de mes DNS primaire et secondaire, mais un jour après, j’ai eu le même problème.

C'est en fait un avertissement de 50% - 50% m'aide! poster.

Alors, voici la question: Y at-il un moyen possible d’empêcher que mes DNS soient modifiés?

PS: Désolé si ce n’est pas où cette question devrait être, mais je suis un peu désespéré, pouvez-vous me rediriger vers le bon site?


1
Cela ressemble à une vulnérabilité XSS dans le routeur
SLaks

1
Une solution (temporaire) consisterait à configurer le DNS manuellement pour chaque machine connectée à ce routeur. Pour le routeur lui-même, vous devez essayer de 1) mettre à jour le micrologiciel du routeur ou 2) d'installer un micrologiciel à code source ouvert (par exemple, DD-WRT, OpenWrt ou Tomato), si cette fonction est prise en charge par votre routeur
user49740

@SLaks quelle serait la solution à ce type de vulnérabilité?
juliomalegria

@ user49740 J'ai changé mes DNS localement, mais le problème persiste. Je vais essayer de mettre à jour le routeur.
juliomalegria

De quel type est votre routeur? S'il s'agit d'une FritzBox ou quelque chose du genre, déconnectez-la d'Internet, rétablissez les paramètres d'usine, modifiez les droits d'accès, puis reconnectez-la à Internet.
ott--

Réponses:


1

Je ne sais pas si cela s'applique dans ce cas, mais une des solutions possibles (rare, mais possible) est un fragment Flash malin (téléchargé et traité par votre navigateur sans que vous le sachiez) redirigé depuis votre ordinateur au routeur via UPNP et à reprogrammer le routeur si le routeur accepte la reconfiguration UPNP.

Même avant que cela devienne une menace, j’avais déterminé que UPNP ne me servait à rien et je l’ai désactivé depuis (probablement 5 ans ou plus maintenant) sur tous les routeurs que je contrôle et utilise en outre des serveurs DNS statiques (OpenDNS dans mon cas). sur toutes les machines que je configure.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.