Problemen DNSchanger malware nog niet overwonnen

Het ‘Ghost click’ botnet, dat door de FBI eind vorig jaar onschadelijk werd gemaakt, blijft in Nederland bij internetgebruikers voor enige overlast zorgen. Een recente meting wijst uit, dat bij 44 Nederlandse ISP’s,  nog altijd systemen worden gesignaleerd die zijn geïnfecteerd met de zogenaamde ‘DNS Changer Trojan’. Deze malware is tussen 2007 en 2011 wereldwijd op vrij grote schaal terechtgekomen op zowel Windows- als Mac OSX-systemen. Een eenmaal besmette computer communiceert niet meer met zijn reguliere DNS-servers (resolvers), maar met DNS-servers van kwaadwillenden, met alle mogelijke gevolgen van dien.

FBI grijpt in
Op 8 november 2011 heeft het Amerikaanse FBI met het oprollen van de bende achter het ‘Ghost click’ botnet een einde gemaakt aan diens kwalijke praktijken. Het uitgebreide serverpark van DNS-servers waar de bende gebruik van maakte, werd daarbij door de FBI overgenomen en in de lucht gehouden, want dit simpelweg uitschakelen zou tot problemen hebben geleid bij de vele duizenden getroffen gebruikers. Het plan was om, na een uitgebreide bewustwording-campagne, dit serverpark op 8 maart jl. alsnog voorgoed te ontmantelen. Maar onlangs is besloten om deze termijn te verlengen tot 9 juli 2012. De reden hiervoor is dat er, maanden na het opdoeken van het botnet, wereldwijd nog veel besmette systemen actief zijn. Het uitschakelen van de door de FBI gecontroleerde DNS-servers betekent voor gebruikers van geïnfecteerde systemen dat ze vanaf die datum geen goed werkend internet meer hebben.

dnschanger_sidn

Testpagina besmetting
In verhouding tot andere landen, valt de schade in Nederland mee. We zien dat het aantal besmettingen vlot afneemt. Toch zijn er in Nederland nog altijd een paar duizend systemen besmet. Daarom lanceert SIDN, in samenwerking met de ‘DNS Changer Working Group (DCWG), in navolging van buitenlandse initiatieven een testpagina waarop gebruikers eenvoudig en in één oogopslag kunnen zien of ze besmet zijn met de ‘DNS Changer’ malware: http://dns-ok.nl/

Nederlandse ISP sector reageert wisselend
Hoewel Nederland het verhoudingsgewijs niet slecht doet, zou het mooi zijn als we voor het bereiken van de deadline op 9 juli a.s. het aantal besmette systemen nog verder hebben weten te reduceren, zodat het definitief ontmantelen van het serverpark geen vervelende gevolgen zal hebben.

Daarbij spelen ISP’s een cruciale rol. Zij kunnen hun gebruikers erop wijzen dat ze besmet zijn met ‘DNS Changer’ en ze uitleggen hoe ze hun systeem weer op orde kunnen krijgen. Mijn eigen ISP  XS4ALL nam zijn verantwoordelijkheid bijvoorbeeld heel serieus. Dit ondervond ik aan den lijve, toen ik enkele tests deed ten behoeve van http://dns-ok.nl/ en prompt werd afgesloten. Gelukkig volgde direct daarop een telefoontje van een ‘abusedesk’- medewerker, waarna de lucht snel geklaard was.

Slotoverweging: In hoeverre hebben ISP’s een verantwoordelijkheid om te waken over de internetveiligheid van haar gebruikers?


Marco Davids is Technisch Adviseur bij SIDN, de ‘registry’ van het Nederlandse ‘country code top level domain’ (TLD) en dus het bedrijf achter alle .nl domeinnamen.

Referenties bij het artikel:
http://dcwg.org
http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Virussen+en+wormen/WD-2012-017+Computers+met+DNSChanger+malware+offline+na+7+maart+a.s..html

Over Marco Davids

Marco Davids is Technisch Adviseur bij SIDN.