Сейчас в 8 часов утра по Москве от глобальной сети будут отрезаны пара сотен тысяч пользователей в мире. Включив компьютеры, осознают ли они, что неприятность не в шнуре, не в провайдере, что неприятность позвана по большому счету не сбоем в работе оборудования — а всего лишь вирусом, спрятавшимся в ОС? Вирус данный, DNSChanger, перенаправляет все интернет-запросы на собственные управляющие серверы в Соединённых Штатах. И именно этим утром эти серверы будут обесточены по команде Федерального бюро расследований США.
Честно говоря, DNSChanger, узнаваемый кроме этого под именами TDSS, Alureon, TDL4 , всего лишь примитивный «троян». Он инфицирует компьютеры под управлением MS Windows, выдавая себя за драйвер, нужный для просмотра порнографических роликов (из этого и главный контингент заражённых: пользователи, систематично посещающие вызывающие большие сомнения сайты и не придающие громадного значения тому, что скачивают на компьютер). Что, но, не помешало ему добиться заметного успеха и с 2007 года инфицировать пара миллионов автомобилей. К счастью, деструктивных функций у него нет. Задачей была незаметная, «на лету» подмена рекламных баннеров в браузере — удачными для создателей вируса. А дабы упростить себе работу, он изменял прописанный на компьютере адрес DNS-сервера, заставляя заражённую персоналку обращаться к принадлежащим вирусописателям серверам.
Что такое DNS (Domain Name System, совокупность доменных имён)? Это один из кирпичиков на которых держится Веб. Несложнее всего сравнить её с телефонной книгой: вы понимаете имя человека, но не помните его книга — и телефон оказывает помощь вам найти необходимые цифры. Так же и DNS оказывает помощь другим программам и вашему браузеру переводить имена сайтов (понятные человеку) в интернет-адреса (понятные компьютеру).
В то время, когда вы вбиваете в адресную строчок, к примеру, «ibusiness.ru», браузер вначале обращается к ближайшему DNS-серверу и приобретает в ответ соответствующий имени числовой IP-адрес (в этом случае 81.23.10.76).
Имена сайтов придуманы для удобства запоминания человеком, а сами компьютеры определят друг друга в Сети по числовым адресам. В большинстве случаев у каждого устройства, подключенного к Интернет, собственный IP-адрес. Но имеется и кое-какие особые. Так адрес 127.0.0.1 замкнут сам на себя: он постоянно приведёт вас на ваш личный компьютер (фото: Timo Newton-Syms).
Понятное дело, всё это скрыто от глаз пользователя и занимает доли секунды. И всё-таки процедура трансляции имён в адреса очень ответственна. Во-первых, по причине того, что в случае если компьютер инфицирован DNSChanger, вместо ближайшего DNS-сервера он начнёт обращаться за помощью к одному из DNS-серверов, которыми владел авторам вируса. А в том месте одни адреса время от времени будут подменяться вторыми, дабы продемонстрировать вам «левую» рекламу либо заманить на сайт, куда вы в противном случае ни при каких обстоятельствах бы не попали.
Во-вторых, по причине того, что в случае если вирусные DNS-серверы не известно почему внезапно отключатся, все инфицированные вирусом персоналки останутся без связи: так как они не смогут переводить имена сайтов в адреса.
Авторы DNSChanger были идентифицированы и пойманы ещё минувшей в осеннюю пору. Решающую роль тут сыграло FBI: её сотрудники узнали, кто стоит за эпидемией (пара эстонцев и один россиянин, все взрослые парни, под 30 лет), вместе с эстонской полицией произвели аресты, и забрали под собственный контроль вирусные DNS-серверы (около десятка). Считается, кстати, что за пять неполных лет создатели вируса прекрасно на нём получили, сделав порядка 14 млн. долларов. Но поймать вредителей и изъять оборудование ещё не означало победить эпидемию.
Неприятность в том, что в мире остались много тысяч инфицированных PC, пользователи которых не знали, что их компьютеры заражены. Так что с согласия суда и при помощи специалистов по ИТ-безопасности, вирусные DNS-серверы (нужные для обычной работы инфицированных персоналок) было решено покинуть в строю. Попутно организовали коммисию DNS Changer Working Group (DCWG), задачей которой начало достучаться до ничего не подозревающих жертв эпидемии и оказать помощь им очистить собственные компьютеры от заразы.
Но всё хорошее когда-нибудь заканчивается. День назад истекла последняя отсрочка и сейчас в 04:00 по Гринвичу будет совершена полная ампутация: вирусные DNS-серверы отключены. Итог легко предвидеть: компьютеры, заражённые DNSChanger, окажутся не в состоянии переводить имена сайтов в IP-адреса и практически утратят сообщение с внешним миром. А заражённых так же, как и прежде большое количество.
Карта эпидемии DNSChanger на середину июня. Чем крупней шрифт, тем больше заражённых вирусом персоналок в этом регионе. Российская Федерация, как видите, занимает не последнее место (графика: DCWG).
В начале 2012 таких было около полумиллиона, но кроме того вмешательство Гугл и Facebook (со собственных сайтов дававших предупреждение пользователей инфицированных компьютеров) не спасло обстановку. По данным DCWG, на начало июля 270 тысяч компьютеров со всех стран всё ещё обращались к вирусным DNS-серверам. В случае если же высказать предположение, что многие из этих автомобилей сами снабжают доступом в Сеть пара персоналок, неспециализированный счёт потенциальным жертвам опять отправится на миллионы. Больше всего их в Соединенных Штатах, Канаде, Англии, Австралии, но представлена и Российская Федерация.
Проверить, инфицирован ли компьютер, очень легко: посредством любого из популярных антивирусов, или вовсе без программ, при помощи веб-сервиса на сайте DCWG. Так же легко и удалить DNSChanger — имеется бесплатные утилиты (к примеру, от Лаборатории Касперского). Однако много тысяч людей поленились это сделать. К настоящему моменту все они, возможно, уже сидят без связи. Но мало кто им сочувствует. Сеть полна критических публикаций: дескать, раз жертвы DNSChanger до сих пор не потрудились очистить собственные компьютеры, то или глупы, или недопустимо небрежны. И в том и в другом случае они заслужили собственное наказание.
Вот лишь не требуется думать, что те 270 тысяч PC, на которых всё ещё активен DNSChanger, принадлежат только домохозяйкам либо пенсионерам. Специалисты, разбирая перечень IP-адресов заражённых автомобилей, распознали в нём компьютеры, трудящиеся в полусотне богатейших компаний США, федеральных агентствах, образовательных учреждениях и т.п. Кроме того не задаваясь вопросом «из-за чего», ясно, что данный понедельник станет тёмным для тысяч ни в чём не повинных клиентов этих организаций и компаний. Необходимо готовься к тому, что люди начнут обрывать телефоны работ помощи — и знать, что дать совет пострадавшим либо как поступить самому, если вы окажетесь в роли жертвы.
В случае если заражён и отключился от Сети ваш компьютер, временно вернуть его работоспособность возможно, вводя вместо имён сайтов их IP-адреса. Другими словами в примере выше, вместо ibusiness.ru направляться ввести в адресную строчок 81.23.10.76. Но, если вы уже не понимаете IP-адреса нужных вам ресурсов, данный совет вам не окажет помощь.
В этот самый момент необходимо подчеркнуть, что кое-какие российские компании позаботились о собственных клиентах, ещё несколько дней назад сказав им нужные IP (как мне известно, так поступил, например, биржевой брокер Алор). Занимательным выглядит и пятничное отключение корпоративной сети Сберегательного банка (см. «Сбербанк за собственные карты не отвечает»). Предположение, само собой разумеется, храброе — но, быть может, постигший сбербанковские банкоматы блэкаут позван именно попыткой удалить DNSChanger с серверов/персоналок компании перед тем, как рубльник дёрнет FBI?