Phát hiện và tiêu diệt rootkit DNSChanger potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (97.01 KB, 3 trang )
Phát hiện và tiêu diệt rootkit DNSChanger
Nhận biết máy tính bị nhiễm DNSChanger
Cách dễ nhất để nhận biết máy tính có bị nhiễm DNSChanger hay không
chính là dùng trình duyệt web rồi truy cập vào địa chỉ http:// www.dns-ok.us. Liên
kết này sẽ đưa bạn đến một dịch vụ kiểm tra các thay đổi về DNS trực tuyến. Nếu
máy tính của bạn không bị thay đổi DNS, bạn sẽ nhận được nội dung là DNS
Resolution = GREEN, ngược lại là DNS Resolution = RED. Nếu sống bên ngoài
lãnh thổ Hoa Kỳ, bạn có thể truy cập vào trang web của FBI theo địa chỉ
để tìm một dịch vụ thích hợp nhất cho khu vực của bạn
(trang web này có hỗ trợ dịch nội dung sang tiếng Việt).
Thật không may, nếu router của bạn bị nhiễm DNSChanger, những trang
web sẽ nghĩ rằng máy tính của bạn bị nhiễm, mặc dù nó có thể được làm sạch, tồi
tệ hơn, nếu ISP chuyển hướng DNS của bạn, máy tính của bạn có thể xuất hiện ở
dạng “sạch sẽ” mặc dù các thiết lập DNS của nó đã bị thay đổi. Nếu muốn chắc
chắn rằng máy tính của mình hoàn toàn miễn nhiễm với DNSChanger, bạn phải tự
tìm kiếm các địa chỉ IP của DNS server trên máy tính theo cách sau:
- Vào menu Start > Run (hoặc Search) gõ cmd rồi bấm Ctrl+Shift+Enter để
khởi động cửa sổ Command Prompt dưới quyền quản trị.
- Từ dấu nhắc lệnh, bạn nhập ipconfi g /allcompartments /all rồi bấm Enter
để xác nhận.
- Lúc này, bạn sẽ nhận được rất nhiều thông tin liên quan đến kết nối
Internet, bạn chỉ cần tìm đến dòng DNS Servers và ghi nhớ chuỗi IP nằm bên phải
của nó. Các chuỗi IP này nhiều hay ít phụ thuộc vào số lượng máy chủ DNS mà
máy tính đang truy cập. Người dùng Mac OS X sẽ có một cách dễ dàng hơn để
xem thông tin của máy chủ, để xác định địa chỉ IP của máy chủ DNS mà máy tính
của họ sử dụng. Mở menu Apple (thường nằm ở góc trên bên trái của màn hình)
và chọn System Preferences.
Tiếp theo, bấm vào biểu tượng Network để mở trình đơn Network Settings,
tìm đến mục Advanced Settings và sao chép các chuỗi của các số được liệt kê
trong hộp DNS Server. Sau khi đã xác định được địa chỉ IP của máy chủ DNS mà
máy tính của bạn đang sử dụng, hãy truy cập vào trang web DNSChanger của FBI
theo địa chỉ http://tinyurl. com/7q59hkc và nhập các địa chỉ IP vào hộp tìm kiếm.
Bấm nút Check Your DNS, các phần mềm của FBI sẽ cho bạn biết liệu máy tính
của bạn có đang sử dụng máy chủ DNS giả mạo để truy cập vào Internet hay
không.
Làm gì khi máy tính bị nhiễm DNSChanger
Nếu máy tính bị nhiễm DNSChanger, bạn sẽ phải làm một số công việc
chuyên sâu để có thể thoát được khỏi nó. DNSChanger là một rootkit mạnh mẽ do
đó nó có thể làm được nhiều việc hơn là chỉ làm thay đổi thiết lập DNS của máy
tính. Nếu máy tính của bạn đã bị nhiễm DNSChanger, cách an toàn nhất và dễ
nhất là sao lưu dữ liệu quan trọng, định dạng lại ổ đĩa cứng và cài đặt hoặc Ghost
lại hệ điều hành cho máy tính.
Nếu là người sử dụng máy tính thành thạo, bạn có thể thử gỡ bỏ rootkit
DNSChanger bằng các tiện ích miễn phí như TDSSKiller của Kaspersky Labs
chẳng hạn. Kaspersky phát hành tiện ích này để giúp người dùng máy tính có thể
tìm kiếm và tiêu diệt TDSS rootkit malware, nhưng nó cũng có thể phát hiện và
loại bỏ DNSChanger và các hình thức khác của rootkit. Nếu máy tính bị nhiễm
DNSChanger từ mạng máy tính, bạn sẽ phải kiểm tra tất cả các máy tính khác trên
mạng xem chúng có bị nhiễm DNSChanger hay không, và sau đó kiểm tra các
thiết lập router của bạn để đảm bảo rằng nó không bị ảnh hưởng (DNSChanger
được lập trình để tự động thay đổi các thiết lập DNS của bộ định tuyến bằng cách
sử dụng Username và Password mặc định của các router). Để làm điều này, sao
chép DNS của router rồi làm theo cách trên để truy cập vào trang web kiểm tra
DNS của FBI rồi dán địa chỉ IP của DNS vào để kiểm tra trực tuyến. Nếu router
của bạn bị nhiễm DNSChanger, chỉ cần thiết lập lại các thông số cho bộ định
tuyến bằng cách khôi phục lại mặc định của nhà sản xuất.
