Onun adı DNSChanger… 2005 yılında ortaya çıktı, milyonlarca bilgisayara, binlerce ağ(network)’a bulaştı… Verdiği zararlar çok sonraları tespit edilebildi.
Neredeyse çoğu kullanıcı onun, kendi bilgisayar sisteminde var olduğunu bile anlayamadı. Çünkü güncel ve bilinen güvenlik yazılımları ile antivirüs programları DNSChanger’ı tespit edemedi. Klasik zararlı yazılımlar gibi sadece Windows kullanıcılarına değil, MAC kullanıcılarına da bulaşarak kendi alanında efsane olmayı başardı.
İşte o efsane trojan (Zararlı yazılım) şimdi yenilenen ve güçlenen zararlı içeriği ile karşımıza tekrar çıktı.
DNSChanger ne yapıyor? Nasıl böyle bir zarar verebiliyor? Çalışma mantığı nedir?
DnsChanger sadece tekil bilgisayarlara değil, Ağa bağlı çalışan bilgisayarlara ve Ağ ortamlarına (Network) da zarar veriyor. Yeni versiyonda karşımıza daha da kötü ve acımasız olarak çıkan DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o bilgisayarların Ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.
Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web sitelerinin bire-bire kopyası (fake web sayfası) ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş oluyorlar.
Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Eğer profesyonel bir Bilgisayar kullanıcısı değilseniz yani sıradan bir kullanıcı iseniz, bahsi geçen DNS kayıtlarına bakmak tabii ki aklınıza gelmeyecektir.
Böylece bu sahte DNS’leri kullanarak mı yoksa gerçekten kendi İnternet Servis Sağlayıcınızın atadığı DNS kayıt numarası ile internete eriştiğinizi tabii ki bilemeyeceksiniz.
DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan bakarsak, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin kurulum güvenlik ayarlarını, kurulum şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.
Çoğu kullanıcı, ADSL modem şifrelerini değiştirmeden, kurulumdaki olarak kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.
Yazının başında da belirttiğim gibi DnsChanger sadece Windows kullanıcılarını değil, MAC kullanıcılarını da etkileyerek kendi alanında farklılık yaratıyor ve bu’da trojanın ne kadar ciddiye alınması gerektiğini bir kere daha gösteriyor.
Peki DNSChanger’dan nasıl korunacağız ?
Şu an aktif olarak yayılmaya devam eden zararlıyı maalesef ki bir çok güncel güvenlik programı engelleyememektedir. Bunun için sistemizi Anti-Malware yazılımları ile taratmalıyız. Bu temizlik işlemini gayet başarılı yapan bir programı tavsiye ediyorum. RapidShare adresinden ilgili programı indirerek sisteminizi taratabilir ve temizleyebilir yada sistemizin güvenliğinden emin olabilirsiniz. Programın üretici firma adresine : www.malwarebytes.org adresinden ulaşabilirsiniz.
Kaynak : 