در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

SaeiD Doorandish

بدافزار تغیر DNS و ریدایرکت شدن مرورگر

با سلام

سوالی که در ادامه مطرح میکنم به خودی خود ساده و کوتاه میباشد اما با توجه به این که متوجه شدم جواب این سوال به شکل فنی و کارشناسانه در جای دیگر (تا جایی که من سرچ کردم) داده نشده لذا در ابتدا به شرح جزء به جزء مشکل اولیه ام که به طرح این سوال ختم شده است پرداخته ام تا اگر دوستان دیگری نیز به نحوی با این مورد برخورد کرده یا ممکن است بکنند از این جواب بهره مند شوند

از چند روز پیش به یکباره مرورگرم شروع به باز کردن صفحات Popup بر روی هر صفحه ای که باز میکردم کرد ( به اصطلاح Redirects ) نوع مرورگر هیچ فرقی نداشت Mozilla Firefox-Google Chrome-IE-Opera.

تفاوتی نداشت که بر رویشان کلیک شود یا بسته شوند Popup های تبلیغاتی در پنجره و تب های جدید در همه مرورگرها شیوع پیدا کردن.صفحه ای که باز میشد در اکثرا اوقات adfoc.us بود(که من در لحظه اول برخورد با این مشکل به باز شدن این صفحه زیاد توجهی نکردم).در ابتدا فکر کردم ناخواسته بد افزاری را بر روی لپ تابم نصب کردم و مشکلم رو آنچنان عجیب و حاد فرض نکردم .با توجه به اورجینال بودن آنتی ویروس و فایروالم (ESET Smart Security) و آپدیت و سرچ لحظه ای این مجموعه، باز هم آلوده شدنم رو بعید ندانسته و تمامی سیستم رو از بابت نصب بد افزار به شکل دستی و نیز با برنامه های adwcleaner,tdsskiller,hitman pro,Rogue killer,combo fix چک کردم که به چیز مشکوکی بر نخوردم!

مشکل نه چندان حادم همچنان ادامه داشت تا وقتی که متوجه شدم باز شدن این صفحات تبلیغاتی نه چندان مناسب! تنها به لپ تاپم خلاصه نشده و تمامی دیوایس های آنلاینم(تبلت.گوشی اعم از Android,IOS و تلویزیون و رسیور) رو تحت شعاع قرار داده و دربر گرفته...اینجا بود که متوجه شدم مشکل از لپ تاپم نبوده و احتمالا از نقطه اشتراک تمامی این دیوایس ها یعنی مودم روترم (TP-LINK W8951 ND) آب میخورد.با مراجعه به تنظیمات مودم در ابتدا متوجه تغییر خاصی نشدم اما با بررسی دقیق تر متوجه تغییر کانفیگ DNS Relay از

Use Auto Discovered DNS Server Only به Use User Discovered DNS Server و ست شدن این DNS 91.194.254.105 بر روی Primary DNS Server شدم با توجه به این که من تقریبا تمامی روش های مرسوم ایمنی عدم دسترسی Remote رو بر روی این مودم روتر اعمال کرده ام (تعویض پسورد پیشفرض.عدم Broadcast SSID همچنین ساخت Allow Associtian و MAC Address Filtering و استفاده از Authentication WPA2-PSK قوی برای دسترسی ) پس این تغییر عجیب در کانفیگ مودم روترم و همچنین شیوع این صفحات تبلیغاتی بر روی دیوایس هایم رو دیگر مشکل ساده ای فرض نکردم.با سرچ adfoc.us و همچنین DNS 91.194.254.105 در اینترنت فهمیدم مشکلم فراگیرتر از چیزیه که متصور بودم و با چه چیزی طرف هستم... یک بدافزار تغیر DNS

اغلب کاربرانی که در ایران به این بدافزار دچار شدند از کاربران ADSL مخابرات هستند هدف اصلی بدافزار هدایت ترافیک به سایت های تبلیغاتی خاص می باشد. بدافزار با ارسال یک دستور ARP به روتر واقعی شبکه، آن را فریب می دهد تا تمام ترافیک شبکه را به کامپیوتر آلوده بفرستد. اغلب روترها، دستور ARP درخواست نشده را قبول می کنند. ویروس Warp از یک ابزار نفوذ قدیمی به نام ZXarps برای این کار استفاده می کند.

این بدافزار به روش زیر سیستم ها را آلوده می کند:

*1) انتقال ترافیک شبکه از طریق دی ان اس آلوده شده به سایت adfoc.us

2) انتقال مرورگر به سایت حاوی اکسپلویت جهت آلوده ماندن دائمی دیواس*

در تمامی صفحاتی که در آنها به روش مقابله با این بد افزار اشاره شده است به چگونگی تعویض DNS از طریق تنظیمات ویندوز یا گوشی و پاک کردن تمامی سوابق مرورگر ها در دیوایس ها که یک راه کار موقتی میباشد بسنده شده است در صورتی که مشکل اصلی عدم تعویض کانفیگ DNS مودم میباشد که حتی با Factory Default Settings کردن آن یا تعویض ویندوز این مشکل به قوت خود همچنان باقیست!

بعد از این شرح حال نسبتا مفصل این مشکل سوال ساده و کوتاهی که در ابتدا به آن اشاره کردم این است: راه حل برخورد با این بدافزار

#صفحات_popup #ریدایرکت_شدن_مرورگر #بدافزار_تغیر_dns
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.
مرتضی رحیمی

سلام دوست عزیز.اگه مطمئن هستی که عمل بازگشت به تنظیمات کارخانه رو درست انجام دادی ، میشه به این نتیجه رسید که بدافزاری که شما بهش اشاره داری ، روی فریم ویر (فریمور) مودمت بارگذاری شده و با ریست کردن تنظیمات ، مشکلت قابل حل نیست.مرحله اول اینه که از سایت سازنده مودمت ، آخرین ورژن فریم ویر مودمت رو بگیری و با توجه به راهنمایی سایت سازنده ، مودمت رو به آخرین ورژن بروز رسانی کنی.(به قول خودمون مودمت رو فلش کنی).هیچ الزامی نیست که شما حتما آخرین ورژن رو دریافت کنی.میتونی از ورژن فعلی نرم افزار مودم یا حتی ورژن های قبلی هم استفاده کنی(دانگرید).

تا اینجا مشکلت حل میشه.اما باید مشکل اساسی حل بشه.تا جایی که علم من میرسه ، شما غیر از تنظیمات امنیتی اولیه که روی مودمت (یا هر گیت وی دیگه) اعمال میکنی (شامل تغییر رمز ورود به پنل ، رمز وای فای ، ACL و ... )کار دیگه ای ازت برنمیاد و باید این مشکل رو به سازنده مودم گزارش کنی و منتظر جواب بمونی(تجربه کار با گیت وی های DLINK و Asus من رو به نتیجه رسونده) و دعا کنی که بدافزار سوییچ بالاتر رو آلوده نکرده باشه.

ولی نظر واقعی من اینه که یه جای کار میلنگه.اینکه یه بدافزار بتونه روی فریم ویر یه دیوایس تغییرات اعمال کنه خیلی خیلی پیشرفته هستش.(تقریبا مثل اینکه یه ویروس بیاد رو MBR هاردت بشینه.حتی از اونم سختتر) و اینکه یه سایت تبلیغاتی بخواد یه همچین کاری کنه.امکانش خیلی کمه که با ریست فکتوری باز هم این مشکل پا بر جا باشه.شما فایل Host رو هم یه چک بکن.منتظر اعلام نتیجه از طرف شما هستم.

همه چیز را ، همه کس داند...
پاسخ شما
برای ارسال پاسخ خود وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....