Beberapa minggu yang lalu saya mulai mengalami masalah dengan koneksi internet saya, itu sangat lambat dan tiba-tiba beberapa situs web (khususnya gmail, facebook, youtube dan twitter) mulai gagal terhubung, sementara sisanya terhubung secara normal. Beberapa hari kemudian, situs web yang sama itu mulai menunjukkan kepada saya pesan dalam bahasa portugis: "Nova atualização disponível" setiap kali saya mencoba menghubungkan dan file .exe mulai mengunduh ("internet_update.exe" atau sesuatu seperti itu)
Saat itulah aku ketakutan! Itu pasti virus atau sesuatu seperti itu, tapi itu sangat aneh karena saya tidak pernah punya masalah seperti itu (saya menjalankan Linux). Jadi saya menyalakan PC lama saya (menjalankan Windows XP) dan ternyata itu memiliki masalah yang sama! pesan yang sama ditampilkan setiap kali saya mencoba menghubungkan salah satu situs web tertentu, sedangkan sisanya dimuat tanpa masalah. Bahkan di smarthphone Android saya pesan yang sama ditunjukkan.
Jadi jelas bahwa masalahnya bukan pada mesin tertentu tetapi pada router itu sendiri. Jadi saya mulai mencari di Google dan menemukan beberapa informasi , sayangnya saya hanya menemukan beberapa di Spanyol, jadi saya akan membuat Anda ringkasan singkat:
Ini adalah trojan perbankan baru yang dikembangkan secara khusus untuk menginfeksi dan mengumpulkan informasi dari bank-bank Brasil. Rupanya sekarang telah berkembang ke Argentina dan Peru.
Jadi bagaimana cara kerjanya? Ini menyebar melalui jaringan sosial (video, tautan, ...) dan kemudian "mengambil kendali" dari koneksi internet Anda dengan mengubah nilai-nilai DNS Anda. Lebih khusus, itu mengubah DNS primer ke salah satu IP ini: 108.170.13.38, 66.7.216.122 atau 63.143.43.154 dan DNS sekunder ke 8.8.8.8, DNS sekunder ini sebenarnya adalah Google Public DNS , dan dikonfigurasi dengan cara ini sehingga koneksi internet Anda terus berfungsi dengan baik dan pengguna tidak melihat apa pun.
Bagian penting di sini adalah karena tidak ada unduhan atau pemasangan yang dilakukan di mesin Anda, tidak ada antivirus yang akan melihat perubahan apa pun. Setelah DNS Anda diubah, trojan mengontrol setiap situs web yang Anda sambungkan dan dengan cara ini mencuri informasi bank Anda.
Jadi setelah membaca tentang ini saya mengakses router saya dan saya memulihkan DNS Primer dan Sekunder saya ke nilai yang tepat, tetapi satu hari setelah saya memiliki masalah yang sama lagi.
Ini sebenarnya adalah pos peringatan 50% - 50% tolong saya! pos.
Jadi, inilah pertanyaannya: Apakah ada cara yang mungkin untuk mencegah DNS saya diubah?
PS: Maaf jika ini bukan tempat pertanyaan ini seharusnya, tetapi saya agak putus asa, dapatkah Anda mengarahkan saya ke situs web yang benar?
Jawaban:
Saya tidak tahu bahwa ini berlaku dalam kasus ini, tetapi satu cara hal-hal seperti ini dapat terjadi (jarang, tetapi mungkin) adalah fragmen Flash ganas (diunduh dan ditindaklanjuti oleh browser Anda tanpa Anda sadari) mengarahkan ulang dari mesin Anda ke router melalui UPNP, dan memprogram ulang router jika router menerima konfigurasi ulang UPNP.
Bahkan sebelum ini menjadi ancaman, saya memutuskan UPNP tidak berguna bagi saya, dan telah menonaktifkannya sejak saat itu (mungkin 5 tahun atau lebih sekarang) di semua router yang saya kontrol, dan juga menggunakan server DNS statis (OpenDNS dalam kasus saya) pada semua mesin yang saya konfigurasi.
sumber