本周，美國聯(lián)邦調(diào)查局(FBI)宣布將關(guān)閉與DNSChanger惡意軟件相關(guān)的服務(wù)器，這將使得感染到這種威脅的電腦有可能無法訪問互聯(lián)網(wǎng)。為此，賽門鐵克提醒廣大用戶，特別是中小企業(yè)用戶應(yīng)立即采取必要的措施，以盡可能降低損失。

目前全球仍受DNSChanger感染的電腦數(shù)量至少有30萬臺，這將給很多電腦用戶、尤其是中小企業(yè)帶來挑戰(zhàn)。中小企業(yè)對互聯(lián)網(wǎng)有很大依賴性，他們需要依靠互聯(lián)網(wǎng)來完全包括日常溝通、電子商務(wù)等工作，而“斷網(wǎng)”對于他們來說，將是一個很嚴重的困擾。同時，由于中小企業(yè)通常沒有專門的IT人員，所以DNSChanger帶來的問題可能會給他們造成災(zāi)難性的影響，除非，他們采取正確的防范措施。被稱為DNSChanger的惡意軟件已經(jīng)見諸報端，并且引起了業(yè)界的持續(xù)關(guān)注。賽門鐵克提醒廣大用戶：如果不及時采取行動的話，就可能面臨“斷網(wǎng)”的危險。

一位對此感到擔(dān)心的賽門鐵克用戶最近向“賽門鐵克安全響應(yīng)中心”提出了一些問題：比如，這種威脅是怎樣運作的，這種惡意威脅對他或其他用戶將帶來哪些危害意等若干問題。賽門鐵克在此與大家進行分享，希望廣大用戶能對此威脅有深入的了解，并能在必要時采取防范措施。

用戶： DNSChanger是什么?

賽門鐵克安全響應(yīng)中心：它是一個能夠改變受感染電腦上的域名系統(tǒng)(Domain Name System, DNS)設(shè)置的惡意軟件，由此而得名。

用戶：DNS設(shè)置是什么?它是怎樣發(fā)揮作用的?

賽門鐵克安全響應(yīng)中心：DNS是一種互聯(lián)網(wǎng)服務(wù)，它能將用戶友好的域名轉(zhuǎn)換成電腦用來彼此通信的數(shù)字式互聯(lián)網(wǎng)協(xié)議(IP)地址。當(dāng)您在自己的網(wǎng)頁瀏覽器地址欄中輸入一個域名時，您的電腦會與DNS服務(wù)器聯(lián)系，確定該網(wǎng)站的IP地址。然后，您的電腦將利用這個IP地址來定位和聯(lián)接該網(wǎng)站。DNS服務(wù)器由互聯(lián)網(wǎng)服務(wù)提供商(ISP)來運行，已經(jīng)列入在您的電腦的網(wǎng)絡(luò)配置中。

圖1：域名系統(tǒng)(DNS)的工作原理

用戶：那么DNSChanger是如何進行攻擊的呢?

賽門鐵克安全響應(yīng)中心：通過改變一臺電腦的DNS設(shè)置，惡意軟件的作者們能夠控制某臺電腦與互聯(lián)網(wǎng)上的哪些網(wǎng)站相聯(lián)接，能夠迫使某臺受影響的電腦去聯(lián)接一個“欺詐網(wǎng)站”，或者把該電腦從一個本想去訪問的網(wǎng)站引開。為了做到這一點，惡意軟件作者需要用惡意代碼去感染電腦，在該案例中，這種惡意代碼就是DNSChanger。一旦某臺電腦了感染這種惡意代碼，惡意軟件便會將DNS設(shè)置從ISP的合法DNS服務(wù)器地址修改成“流氓DNS服務(wù)器地址”。

圖2： DNSChanger的工作原理

用戶：賽門鐵克能保護我們不受這一威脅的影響么?

賽門鐵克安全響應(yīng)中心：是的，賽門鐵克檢測出這一威脅為Trojan.Flush.K，它最初名叫Trojan.Dnschanger。而且，我們的追蹤監(jiān)測從2007年1月開始就進行了。

用戶：這也許是個愚蠢的問題，但我想知道為什么這些攻擊者想將我引導(dǎo)到惡意服務(wù)器上?

賽門鐵克安全響應(yīng)中心：實際上這是一個很好的問題，但其答案卻很簡單：利益驅(qū)使。Kevin Haley寫了一篇關(guān)于網(wǎng)絡(luò)攻擊者的動機以及他們是怎樣進行這種犯罪的博文，http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted。

用戶：這一惡意軟件和這種網(wǎng)絡(luò)犯罪有多長時間了?事實上，Kevin Haley說，那些惡意攻擊者在去年年底就被FBI抓住了!

賽門鐵克安全響應(yīng)中心：是的，沒錯。實際上FBI有一篇關(guān)于Operation Ghost Click的好文章，是關(guān)于如何抓獲這一犯罪團伙的調(diào)查工作的，值得一讀。

用戶：那么為什么現(xiàn)在他們還這么猖獗?

賽門鐵克安全響應(yīng)中心：我很高興您問這個問題。FBI曾通過法庭命令要求“互聯(lián)網(wǎng)系統(tǒng)聯(lián)盟”(ISC)部署和維持安全的DNS服務(wù)器，來代替由惡意攻擊者運行的“流氓DNS服務(wù)器”，以便給使用被感染電腦的用戶留出足夠的時間來清除該威脅。然而，這只是一個臨時性解決方案，由ISC依照法庭命令運行的服務(wù)器將在2012年7月9日被關(guān)閉。一旦這種情況發(fā)生，仍然被感染的電腦將失去互聯(lián)網(wǎng)連接，可能引起大面積的“斷網(wǎng)”。

用戶：那么，被這種威脅所感染的電腦是不能訪問某些網(wǎng)站，還是所有網(wǎng)站呢?

賽門鐵克安全響應(yīng)中心：不，是不能訪問所有網(wǎng)站。將失去互聯(lián)網(wǎng)連接。如果您的電腦在7月9日仍然在使用指向FBI服務(wù)器的DNS條目，那么您將徹底不能訪問互聯(lián)網(wǎng)：不能從家里連接辦公室，不能更新Facebook內(nèi)容，在DNS設(shè)置修復(fù)之前什么都不能做。

用戶：我怎樣才能弄清我的電腦是否被DNSChanger感染?

賽門鐵克安全響應(yīng)中心：一個名叫“DNSChanger 工作組(DCWG)”的特別行動小組已經(jīng)成立，來幫助人們確定他們的電腦是否已被這一威脅感染，同時也幫助他們清除該威脅。用戶可訪問由DCWG維護的DNS Changer Check-Up頁面，以確定其電腦是否被感染。也有由DCWG的Detect 頁面上所列的其他機構(gòu)所維護的采用各種不同語言的其他頁面。各種不同機構(gòu)也在主動告知用戶他們的電腦是否被DNSChanger感染。FBI還編寫了關(guān)于怎樣手動確定一臺電腦是否被感染的說明，請點擊：http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf。

除了檢測惡意代碼外，被DNSChanger感染的賽門鐵克和諾頓客戶，還可以通過我們配有的一個被稱為SecurityRisk.FlushDNS的檢測系統(tǒng)的終端產(chǎn)品進行檢測。

用戶：為什么賽門鐵克的產(chǎn)品不能自動為用戶修復(fù)DNS設(shè)置?

賽門鐵克安全響應(yīng)中心：賽門鐵克的產(chǎn)品不能恢復(fù)某臺被感染電腦上的DNS設(shè)置，是因為我們無法知道其原始設(shè)置是什么。

用戶：賽門鐵克還有什么措施可以避免我們受到類似威脅呢?

賽門鐵克安全響應(yīng)中心：我們有自己的DNS服務(wù)器，通過相應(yīng)的配置他們可以阻攔不安全的網(wǎng)站。這種產(chǎn)品被稱為Norton ConnectSafe，相當(dāng)不錯，而且完全免費，詳情點擊：https://dns.norton.com/dnsweb/homePage.do