Si sta discutendo in rete e sui media di un nuovo virus il DNSChange che dovrebbe fare danni apocalittici lunedì 9 Luglio. Purtroppo come vedremo la faccenda è stata ingigantita dalla stampa dato che il numero dei pc è veramente esiguo si parla di 277.000 macchine a fronte di oltre 1 miliardo collegate in rete, certamente ci sono molti più attacchi virali ogni giorno.
vediamo come è stata esaminata la questione oltreoceano.
DNSChanger Malware Set to Knock Thousands Off Internet on Monday
www.pcworld.com/article/258796/dnschanger_malware_set_to_knock_thousands_off_internet_on_mon...
In Italia troviamo l'articolo su diversi siti anche non informatici come ad esempio su Meteoweb.eu
Occhio al vostro computer: internet a rischio blackout per il virus DNSCharger, c’è tempo fino a lunedì
www.meteoweb.eu/2012/07/occhio-al-vostro-computer-internet-rischio-blackout-per-il-virus-dnscharger-ce-tempo-fino-lunedi...
Per poi finire ad articoli catastrofici come quello di Repubblica sul quale mi autocensuro
Lunedì, se il vostro Pc è infetto non potrà collegarsi a Internet
Pc con Windows, ma anche Mac, tablet, smartphone. Se il vostro computer è stato colpito potrete avere una brutta sorpresa: il web non esisterà più. Anche per colpa dell'Fbi. Ecco come verificare se siete stati contagiati
www.repubblica.it/tecnologia/2012/07/07/news/luned_nero_internet_stop-3...
guardate che titolo aveva prima
Immagine degradata per fini didattici
Vediamo alcuni articoli estratti da siti informatici che di certo non terrorizzano il lettore spettacolarizzando la notizia, infatti non avete visto male quando avete intuito che si sia schiacciata un po la mano con questo allarme.
Lunedì 26mila PC a rischio blackout per colpa di DNSCharger
www.tomshw.it/cont/news/lunedi-26mila-pc-a-rischio-blackout-per-colpa-di-dnscharger/3847...
DNSchanger, il momento della verità
Lunedì verranno spenti i server temporanei che ancora tengono online i PC infetti dal malware. Numerosi i consigli, gli strumenti di check-up e gli avvertimenti: centinaia di migliaia di macchine ancora a rischio
punto-informatico.it/3556897/PI/News/dnschanger-momento-della-ver...
Cerchiamo di capire di cosa si tratta realmente.
Quando scrivo ad esempio
www.google.it il mio provider provvede ad accedere ad un database (archivio) ed ad un sistema elettronico che consente di creare una corrispondenza tra indirizzo numerico (IP) ed nome mnemonico assegnato alla macchina o al sito.
Esempio pratico, se anzichè digitare
www.google.it scriviamo
173.194.35.191/ arriviamo sempre sulla stessa pagina, è evidente che ricordare a memoria i numeri è un po tosto, per questo il sistema DNS provvede a farlo per noi.
Ogni gestore ha i suoi numeri DNS come possiamo vedere da questo elenco
www.3da.it/bin/index.php?id=95
Nel 2007 una banda di cybercriminali creò un virus con lo scopo di reindirizzare chi era infetto sui loro server e rubare dati sensibili.
Questo virus cambiava questi numeri e dirottava i malcapitati verso i loro server esattamente come avesse un proxy, in modo da poter analizzare il traffico e carpire dati, la banda è stata sgominata e l'FBI ed alcune associazioni hanno preso dei nuovi server ed hanno indirizzato li i computer infetti, ma ora come abbiamo letto questi server stanno scadendo per il motivo che non hanno pagato il rinnovo.
Quindi chi ha ancora i pc infetti se non ci saranno proroghe rischieranno di non accedere più ad internet.
C'è da dire che basta un semplice antivirus, un antimalware per risolvere il tutto.
Vediamo come risolvere il problema.
Per prima cosa verifichiamo se il pc è infetto dal virus DNSChange, come anticipato da Filovirus Telecom Italia ha messo a disposizione una pagina dove possiamo verificare lo stato.
www.dns-ok.it/
Se per caso il pc risulta infetto bisogna aggiornare il proprio antivirus e dare una scansione completa della macchina, sarebbe utile usare anche un antimalware come Malwarebytes, gratuito in versione manuale, previa pulizia con Ccleaner della Piriform (gratuito anch'esso).
Qua una recensione completa
Guida completa a Malwarebytes' Anti-Malware
www.megalab.it/3634/guida-completa-a-malwarebytes-anti...
Ccleaner
www.sicurezzainrete.com/Ccleaner.htm
Dopo aver ripulito la macchina è probabile che il virus abbia modificato il file Hosts della macchina, mettendoci gli indirizzi dei dei server tenuti dall'FBI con il rischio che se vengono spenti di avere negato l'accesso ad internet.
All'interno di questo file è contenuta la mappatura degli indirizzi IP ai nomi host, praticamente l'elenco dei server su cui lavorare.
Il file hosts di Windows
www.megalab.it/2833/il-file-hosts-di-windows
File hosts
www.pc-facile.com/guide/file_hosts/24431.htm
Questo file può essere modificato entrando in modalità provvisoria con il semplice Notepad o con un altro editor di testo.
Microsoft ha messo a disposizione un fix che ripristina il file hosts senza avventurarsi nella modifica manuale, ricordo che una volta scaricato va eseguito in modalità amministratore, per i pc con Windows 7 è sufficiente dare il tasto destro del mouse e poi "esegui come amministratore", su Windows XP si deve andare su proprietà e poi spuntare "esegui come amministratore".
Reimpostazione del file Hosts predefinito
support.microsoft.com/kb/972034/it
E' sufficiente riavviare e riverificare i DNS con il sito Telecom.
E' opportuno entrare all'interno della configurazione della scheda di rete e cancellare mettendo in automatico eventuali DNS che non siano del proprio provider.
Resta solo da verificare che non siano modificati all'interno del browser i parametri del proxy.
Per internet explorer
Andare sulla barra dei menu e selezionare
Strumenti quindi scegliere l'opzione Opzioni Internet
Apparirà una finestra
selezionare Connessioni con il mouse eseguite "un click" sul pulsante Impostazioni LAN
Apparirà la finestra Impostazioni rete Locale (LAN).
Le impostazioni devono apparire secondo il seguente:
Rileva automaticamente impostazioni (disabilitato)
Utilizza script di configurazione automatica (disabilitato)
Selezionare Utilizza un server proxy: (disabilitato)
Per Firefox
Andare sulla barra dei menu e selezionare
Strumenti; quindi scegliere l'opzione Opzioni
Avanzate - Rete - Determina come Firefox si collega a internet
Impostazioni e poi nessun proxy.
Riavviare e verificare nuovamente con il sito
www.dns-ok.it/
La macchina dovrebbe essere ripulita e perfettamente funzionante.
Edit, corretto numero delle macchine a rischio, erroneamente ho scritto 277, invece sono 277.000