Viestintäviraston mukaan haittaohjelmia on havaittu myös suomalaisissa ip-osoitteissa.
FBI on julkaissut tietoja kaksi vuotta kestäneestä Operation Ghost Click -tutkinnastaan. FBI:n tutkimusten myötä seitsemää henkilöä syytetään haittaohjelman avulla tehdystä, internet-mainostajiin kohdistuneesta petoksesta.
Haittaohjelma muokkaa tietokoneiden ja lähiverkon DHCP-palveluja tarjoavien laitteiden nimipalveluasetuksia. Osassa tapauksista haittaohjelma on estänyt virustorjuntaohjelmien ja käyttöjärjestelmän päivitykset, mikä vuorostaan on edistänyt muiden haittaohjelmien leviämistä. Nimipalvelun avulla tietokone löytää www-sivun IP-osoitteen. Muokkaamalla tietokoneen nimipalveluasetuksia voi käyttäjän tietoliikentee ohjata haluamaansa IP-osoitteeseen.
Kirjautuu laitteisiin
Haittaohjelma yrittää myös kirjautua sisäverkon dhcp-palvelimena toimiviin laitteisiin, joita ovat muun muassa adsl-modeemit ja langattomat tukiasemat. Haittaohjelma käyttää sisäänkirjautumisyrityksissä yleisiä oletuskäyttäjätunnuksia ja -salasanoja. Jos haittaohjelma onnistuu kirjautumaan laitteeseen, se muokkaa laitteen asetuksista nimipalvelinten ip-osoitteet osoittamaan rikollisten hallinnoimille palvelimille. Tämä saattaa aiheuttaa sen, että kaikki sisäverkossa olevat tietokoneet kysyvät nimipalvelutietoja huijareiden nimipalvelimilta.
Kun käyttäjä jolla on DNS changer -haittaohjelma tietokoneella yrittää päästä tutulle sivustolle, niin selaimen tietoliikenne ohjautuu mainoksia sisältävälle rikollisten ylläpitämälle sivustolle. Rikolliset ansaitsivat rahaa ohjaamalla käyttäjiä mainossivuille. FBI:n tiedotteen mukaan rikolliset keräsivät ainakin 14 miljoonaa dollaria huijauksen avulla.
Omien nimipalvelutietojen tarkistus
Jos epäilee laitteissaan DNS changer -haittaohjelmatartuntaa, niin kannattaa tarkistaa tietokoneen ja lähiverkon laitteiden nimipalvelutiedot. Haittaohjelman käyttämät nimipalvelimet ovat olleet seuraavissa IP-osoitealueissa:
85.255.112.0 - 85.255.127.255
67.210.0.0 - 67.210.15.255
93.188.160.0 - 93.188.167.255
77.67.83.0 - 77.67.83.255
213.109.64.0 - 213.109.79.255
64.28.176.0 - 64.28.191.255
Rikollisten käyttämät nimipalvelimet on korvattu oikeita vastauksia antavilla nimipalvelimilla. Näin haittaohjelman saastuttamat tietokoneet ja lähiverkon laitteet saavat nyt oikeita vastauksia nimipalvelukyselyihinsä eikä tietoliikenne ohjaudu huijaussivustoille. Tämä ei kuitenkaan poista haittaohjelmatartuntaa tietokoneelta.
