DNS hijacker malware

Tags: #<Tag:0x00007f8a1c1dbed0> #<Tag:0x00007f8a1c1dbd40> #<Tag:0x00007f8a1c1dbb88>

Itt az idei év első dns malware. A fertőzés mikéntje egyelőre nem ismeretes, de a vírusírtók nem jelzik. A dns szervereket írja át, lehetővé teszi screenshot készítését, egérkattintást tud kiváltani, illetve AppleScript futtatására is képes.

A fertőzés jelei:

A DNS szerveretek címe 82.163.143.13 és 82.163.142.137

Egy cloudguard.me certificate került a gépre.

Védekezés:

Fertőzés esetén a mac teljes újratelepítését javasolják, mert a malware feltelepíthet más rosszindulatú kódot is. Ha kockáztattok, akkor töröljétek a dns szervereket.

System Preferences / Network / Advanced / DNS , mindkét bejegyzést töröljétek.

A certificate-et a Keychain Access / System alól lehet kitörölni.

A képek forrása, és a hiba feltárását részletesen leíró oldal:

2 Likes

Tegnap óta várom, hogy valaki hozzászól, de semmi érdeklődés. Ahogy elnézem, külföldön sem izgat sokakat. Amúgy itt van még egy kis érdekesség:

"Windows Relatives
After chatting with @noarfromspace, about this malware, he dug up an interesting article from 2015. Titled, “The mystery of 82.163.143.172 and 82.163.142.174”, the article dicusses a piece of Windows malware named DNSUnlocker that also hijacked DNS settings on Windows systems. This DNSUnlocker malware seems closely related to OSX/MaMi for a few reasons:
DNS servers:
DNSUnlocker, hijacks Windows victim’s DNS servers to: 82.163.143.172 and 82.163.142.174
OSX/MaMi, hijacks Mac victim’s DNS servers to: 82.163.143.135 and 82.163.142.137

Certificate:
The certifcate installed by both malware specimens is the same."

Én végigolvastam a linkelt leírást, és beállítottam Little Snitch-ben tiltottnak a két címet.

1 Like

többször hallottam már emlegetni erre-arra ezt a Little Snitch-et, voltaképp mi ez?

Hálózati ellenőr: tűzfal kifelé is.

Nálam a fritzbox csatlakozik fel ipv6 protokollon keresztül, akkor mit kell néznem?

én is végigolvastam, meg még meg is értem az angol nyelvű szöveget, egyébként meg sajna hülye vagyok hozzá.
de a little snitch-ben én is beállítom…

Első körben a SysPref – Network – DNS-t.

Ott nekem a fritz box által generált cím van, az konnektál a digi kábelre. Gondolom, arra nem tud rákúszni ez szörnyeteg?! A keychain nálam tiltva van, 1pw-t használok.

Az a lényeg, hogy ne a fenti két szám legyen.
(A részletes leírás szerint a /Library/Preferences/SystemConfiguration/preferences.plist állományt lemásolja …plist.old néven, és az eredetibe beírja a téves DNS-eket, de hogy ehhez hogyan szerez jogosultságot, azt nem tudom.)

Köszi, akkó nem jöttek be a vámpírok.

koszi az infot, szerencsere negativ,

És mindezt magától, mindenféle user interakció nélkül. Hihető. Csak nem nagyon.
Üdvözlet egy rendszergazdától :)

Nyilvan, valahogyan bejut, valamivel elinditod es valamiben benne van, viszont azt sehol senki nem irja, hogy miben. Egyelore szenzaciohajhasz hirkent kezelem ezt.

Hja. Meg cert sem települ magától.

A windowsos malware sem a levegobol kerul a gepre, a fertozott program elkeri a jelszot, a user meg megadja.

Nálunk eleve policyból le van tiltva, hogy a user bármit telepítsen, ha kell valami szól. Rendszerszintű dolgokhoz meg senki nem fér hozzá. Userek jelszava 12 karakter totál random, adminé meg jó hosszú szintén random. Bele is telt pár napba, hogy ne kelljen keepassx fájlt megnyitogatni, ha admin pass kellett. :)

A gond az, hogy az otthoni felhasznalok 99% szerintem nincs admin jelszo beallitva.

Főleg a windows user-eknél.

Ne is mondd, ismerős vett a kisfiának egy új Airt, majd felhívott, hogy hiába próbálja elindítani a windowsos programjait valamiért nem futnak a gépen. Nem is értem miért…