Сотни тысяч россиян останутся сегодня без интернета

— Пользователи, чей компьютер оказался зараженным вирусом, действительно на некоторое время могут остаться без интернета, — говорит Павел Васильев, технический директор группы компаний Hosting Community. — Помимо сайтов у них также не будут работать электронная почта, системы обмена сообщениями, другие интернет-сервисы. Вероятнее всего при попытке подключиться к интернету и зайти куда-то пользователи увидят в своем браузере сообщение о том, что сервер не может быть найден.

По данным "Лаборатории Касперского", всего злоумышленникам удалось заразить около 4 млн компьютеров по всему миру. Больше всего жертв находится в США и Китае, за ними идут Россия и Германия. В России количество зараженных компьютеров антивирусные эксперты оценивают шестизначным числом. По данным их облачной системы мониторинга угроз, только в этом году в России они зафиксировали десятки тысяч попыток заражения этой вредоносной программой.

— В случае если таких пользователей будет много, отключение DNS-серверов будет хорошо заметно, — считает Васильев. — Это выразится в том, что на какое-то время прекратится деловая переписка по почте, снизится активность в социальных сетях, возрастет нагрузка на службы технической поддержки телеком-операторов.

Система DNS-серверов предназначена для преобразования буквенных сочетаний в  числовые значения адреса интернет-протокола (IP), каждый из которых скрывается за доменом. Например, за адресом ya.ru скрывается IP 77.88.21.3, и если в строке адреса написать эти цифры, то можно оказаться на странице поисковика. В операционной системе прописано, что при введении адреса домена браузер обращается к тем DNS-серверам, к которым считает целесообразным обратиться. Также в системе предусмотрена возможность самому выбрать нужный DNS-сервер — этой функцией и пользуется вирус, который прописывает путь к нужному DNS. В результате, введя один адрес, пользователь попадал на ресурс злоумышленников.

— Неправильное определение IP-адреса из доменного имени приводит к тому, что пользователи попадают на подложные сайты, а дальше либо заражаются, либо передают свои учетные данные злоумышленникам, — поясняет руководитель группы информационной безопасности компании Symantec Олег Шабуров. — Вторая опасность этого метода — это то, что продукты для защиты тоже используют регулярные обновления. При использовании этой технологии они обращаются к тем серверам, где нет обновлений, соответственно остаются необновленными и менее защищенными, чем в дальнейшем пользуются злоумышленники.

Правоохранительные органы пытались очистить инфицированные компьютеры от троянца, но попытки не увенчались особым успехом.

— Многие машины до сих пор остаются инфицированными и выполняют работу с интернетом через модифицированные значения DNS, — рассказывает руководитель отдела антивирусных разработок компании "Доктор Веб" Сергей Комаров. — Из-за того что контролирующие органы не могут поддерживать работу этих серверов бесконечно, было принято решение их отключить.

— Если DNS-серверы злоумышленников будут отключены, то ни подложный, ни настоящий ответ пользовательской системе не придет, а значит, пользователь просто не сможет открыть ни один адрес, не изменив настройки DNS в своей системе, — добавляет Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского". — Именно поэтому возникли опасения, что после этого интернет может пропасть, но в данном случае вопрос лишь в настройках системы пользователя, которые несложно поменять.

Цель создателей троянца была самой простой: получение финансовой выгоды. Для осуществления задуманного авторы DNSChanger выбрали вполне выгодный и успешный сегмент интернет-экономики, а именно сегмент онлайн-рекламы и маркетинга.  

— По мнению спецслужб, владельцы троянцев DNSChanger создали ряд подставных фирм, якобы занимавшихся рекламным бизнесом в интернете, — говорит Комаров. — Заключая сделки с различными компаниями и иными заинтересованными сторонами, они получали оплату за количество переходов по рекламе, размещаемой на веб-сайтах ничего не подозревающих клиентов. Большее число посетителей генерирует большее число трафика, и соответственно увеличивается финансовая отдача для мошенников.

С технической точки зрения все выглядело достаточно просто: киберпреступники создали специальные DNS-сервера, на которые производились перенаправления пользователей, а троянские программы изменяли соответствующие локальные настройки их компьютеров.

После инфицирования рабочих станций вредоносные программы могли подменять поисковые запросы пользователей: вместо открытия ресурса, отображаемого в поисковике, пользователь перенаправлялся на тот сайт, который был нужен мошенникам. Троянцы также могли изменять легитимную рекламу на веб-страницах, отображая "свою" рекламу.

По словам экспертов "Лаборатории Касперского", решить проблему можно одной командой. Для пользователей русской версии ОС Windows данной командой будет "netsh int ip set dns name = "Подключение по локальной сети" source = dhcp". Либо можно воспользоваться инструкцией, размещенной на сайте компании Microsoft.