مقابله با بدافزار DNS Unlocker

شاید شما هم از جمله کاربرانی باشید که اخیرا با معضل تبلیغات ناخواسته مربوط به بدافزار DNS Unlocker مواجه شده اید. پس از دریافت ایمیل های متعدد از جانب کاربران گردا در ارتباط با این مشکل، تحقیقاتی در این زمینه توسط ما با همکاری شرکت امن پرداز انجام پذیرفته که نتایج این تحقیقات نشان می دهد، گستردگی حملات در بسیاری موارد نه به واسطه آلوده بودن سیستم کاربران بلکه به علت ضعف امنیتی در پیاده سازی مکانیزم کش در سمت ISP های اینرنتی ایران می باشد.

در ادامه به بررسی این موضوع و روش های پاک سازی و مقابله با آن می پردازیم.

در ابتدا جهت آشنایی بیشتر با ابن بدافزار و نحوه فعالیت آن به توضیحات مرکز ماهر در ارتباط با DNS Unlocker مراجعه فرمایید.

اما در روزهای اخیر مشاهده شده این مشکل به شکل گسترده حتی کاربرانی را که سیستم هایشان به این بدافزار آلوده نبوده را نیز تحت تاثیر قرارداده است. در چنین شرایطی کاربران بدون توجه به اینکه از چه سیستم عاملی (ویندوز، لینوکس، مک و حتی سیستم عامل های تلفن همراه همچون اندروید) و یا چه مرورگری (فایر فاکس، کروم، سافاری و ...) استفاده می نمایند، مخصوصا در مراجعه به وبسایت های فروشگاه های اینترنتی با این تبلیغات ناخواسته مواجه می گردند.

پس از تحقیقات انجام شده متوجه شده ایم که دلیل اصلی این موضوع پیاده سازی نامناسب مکانیزم کش در سمت سرویس دهنده های اینترنت ایران می باشد. اما چگونه این اتفاق رخ می دهد؟! در سناریوی زیر به شکل ساده دلیل این امر توضیح داده شده است.

• کامپیوتر عده ای از کاربران اینترنت در ایران به هر دلیلی آلوده به بدافزار DNS Unlocker شده است. هنگامی که این دسته از کاربران به سایت هایی که از سرویس گوگل آنالیتکز استفاده می نمایند، مراجعه می کنند (در حال حاضر بسیاری از سایت های اینترنتی از این سرویس گوگل جهت آمارگیری کاربران خود استفاده می نمایند) این نرم افزار با تغیر تنظیمات DNS سیستم عامل قربانی، سبب می شود که به عنوان نمونه آی پی جعلی 82.163.143.94 به جای آی پی اصلی مربوط به www.google-analytics.com به سیستم عامل معرفی گردد.


• مرورگر این دسته از کاربران تلاش می کند تا اسکریپت های ga.js, analytics.js و غیره را از آیی مذکور (82.163.143.94 ) دریافت نماید با این فرض که آی پی ذکر شده آی پی سرور اصلی گوگل آنالیتیکز مربوط به شرکت گوگل می باشد در حالی که این گونه نیست.


• سرویس دهنده وب نصب شده در آی پی 82.163.143.94 کدهای آلوده را به جای کد های اصلی به کاربر باز می گرداند، به همین ترتیب بارگذاری کدهای آلوده در مرورگر قربانی سبب می شود تا تبلیغات ناخواسته، تبلیغات از طریق پاپ آپ و غیره به کاربر نمایش داده شود.


• متاسفانه برخی کش سرورها در برخی ISP ایران، این پاسخ ها دریافت شده از آی پی جعلی را بدون توجه به اینکه این پاسخ ها از جانب سرور های اصلی گوگل می باشند یا خیر، ذخیره می نمایند.

پس این این اتفاق، چنانچه سایر کاربران ISP که سیستم آنها به این بدافزار آلوده نیست هم به سایت های اینترنتی که از سرویس گوگل آنالیتیکز استفاده می نمایند مراجعه کنند، کش سرور ISP، پاسخ حاوی کد آلوده را (که پیش تر بدون توجه به اصالت آن ذخیره نموده) به کاربر باز گردانده، و تمامی کاربران دیگر را نیز در معرض خطر قرار می دهد.

بدین ترتیب کاربر متوجه می گردد که حتی با استفاده از آنتی ویروس های به روز شده، و یا حتی در صورت تعویض مرورگر و یا سیستم عامل خود هم پس از مدتی مجددا با این تبلیغات نا خواسته مواجه می گردد و می یابد که در واقع راه فراری از این معضل وجود ندارد.

با توجه با اینکه مشکل اصلی مربوط به کاربران نبوده و این اتفاق در سمت سرویس دهنده های اینترنتی رخ می دهد، طبیعتا راهکار برطرف نمودن آن نیز در اختیار ISP می باشد، لیکن تا آن زمان کاربران می توانند با غیر فعال کردن دسترسی به سایت www.google-analytics.com در سیستم عامل خود به صورت موقت، تبعات آسیب های احتمالی را کاهش دهند.

به عنوان نمونه برای انجام این کار در سیستم عامل ویندوز می بایست خطوط زیر را به محتوای فایل hosts در مسیر C:\Windows\System32\drivers\etc اضافه نمایید.

0.0.0.0 www.google-analytics.com

0.0.0.0 google-analytics.com

چنانچه مایل به کسب اطلاعات فنی بیشتر در ارتباط با کشف این موضوع هستید، می توانید به این آدرس مراجعه فرمایید.

منبع