Сегодня в 8 часов утра по московскому времени от глобальной сети будут отрезаны несколько сотен тысяч пользователей по всему миру. Включив компьютеры, поймут ли они, что проблема не в шнуре, не в провайдере, что проблема вызвана вообще не сбоем в работе оборудования — а всего лишь вирусом, спрятавшимся в операционной системе? Вирус этот, DNSChanger, перенаправляет все интернет-запросы на свои управляющие серверы в Соединённых Штатах. И как раз сегодня утром эти серверы будут обесточены по команде Федерального бюро расследований США.
Честно говоря, DNSChanger, известный также под именами TDSS, Alureon, TDL4 , всего лишь примитивный «троянский конь». Он инфицирует компьютеры под управлением MS Windows, выдавая себя за драйвер, необходимый для просмотра порнографических роликов (отсюда и основной контингент заражённых: пользователи, регулярно посещающие сомнительные сайты и не придающие большого значения тому, что скачивают на компьютер). Что, впрочем, не помешало ему добиться заметного успеха и с 2007 года инфицировать несколько миллионов машин. К счастью, деструктивных функций у него нет. Задачей была незаметная, «на лету» подмена рекламных баннеров в браузере — выгодными для создателей вируса. А чтобы упростить себе работу, он изменял прописанный на компьютере адрес DNS-сервера, заставляя заражённую персоналку обращаться к принадлежащим вирусописателям серверам.
Что такое DNS (Domain Name System, система доменных имён)? Это один из кирпичиков на которых держится Веб. Проще всего сравнить её с телефонной книгой: вы знаете имя человека, но не помните его телефон — и книга помогает вам отыскать нужные цифры. Так же и DNS помогает вашему браузеру и другим программам переводить имена сайтов (понятные человеку) в интернет-адреса (понятные компьютеру).
Когда вы вбиваете в адресную строку, например, «ibusiness.ru», браузер сперва обращается к ближайшему DNS-серверу и получает в ответ соответствующий имени числовой IP-адрес (в данном случае 81.23.10.76).
Имена сайтов придуманы для удобства запоминания человеком, а сами компьютеры узнают друг друга в Сети по числовым адресам. Как правило у каждого устройства, подключенного к Интернет, свой IP-адрес. Но есть и некоторые особенные. Так адрес 127.0.0.1 замкнут сам на себя: он всегда приведёт вас на ваш собственный компьютер.
Понятное дело, всё это скрыто от глаз пользователя и занимает доли секунды. И всё-таки процедура трансляции имён в адреса чрезвычайно важна. Во-первых, потому что если компьютер инфицирован DNSChanger, вместо ближайшего DNS-сервера он станет обращаться за помощью к одному из DNS-серверов, принадлежащих авторам вируса. А там одни адреса иногда будут подменяться другими, чтобы показать вам «левую» рекламу или заманить на сайт, куда вы иначе никогда бы не попали.
Во-вторых, потому что если вирусные DNS-серверы по какой-то причине вдруг отключатся, все инфицированные вирусом персоналки останутся без связи: ведь они не смогут переводить имена сайтов в адреса.
Авторы DNSChanger были идентифицированы и пойманы ещё минувшей осенью. Решающую роль здесь сыграло ФБР: её сотрудники выяснили, кто стоит за эпидемией (несколько эстонцев и один россиянин, все взрослые ребята, под 30 лет), вместе с эстонской полицией произвели аресты, а также взяли под свой контроль вирусные DNS-серверы (около десятка). Считается, кстати, что за пять неполных лет создатели вируса хорошо на нём заработали, сделав порядка 14 млн. долларов. Но поймать вредителей и изъять оборудование ещё не значило победить эпидемию.
Проблема в том, что по всему миру остались сотни тысяч инфицированных PC, пользователи которых не знали, что их компьютеры заражены. Так что с согласия суда и при поддержке экспертов по ИТ-безопасности, вирусные DNS-серверы (необходимые для нормальной работы инфицированных персоналок) было решено оставить в строю. Попутно сформировали рабочую группу DNS Changer Working Group (DCWG), задачей которой стало достучаться до ничего не подозревающих жертв эпидемии и помочь им очистить свои компьютеры от заразы.
Но всё хорошее когда-нибудь заканчивается. Вчера истекла последняя отсрочка и сегодня в 04:00 по Гринвичу будет проведена полная ампутация: вирусные DNS-серверы отключены. Результат легко предвидеть: компьютеры, заражённые DNSChanger, окажутся не в состоянии переводить имена сайтов в IP-адреса и фактически потеряют связь с внешним миром. А заражённых по-прежнему много.
В начале 2012 таких было около полумиллиона, но даже вмешательство Google и Facebook (со своих сайтов предупреждавших пользователей инфицированных компьютеров) не спасло ситуацию. Согласно данным DCWG, на начало июля 270 тысяч компьютеров со всего мира всё ещё обращались к вирусным DNS-серверам. Если же предположить, что многие из этих машин сами обеспечивают доступом в Сеть несколько персоналок, общий счёт потенциальным жертвам снова пойдёт на миллионы. Больше всего их в США, Канаде, Англии, Австралии, но представлена и Россия.
Проверить, инфицирован ли компьютер, чрезвычайно просто: с помощью любого из популярных антивирусов, либо вовсе без программ, посредством веб-сервиса на сайте DCWG. Так же просто и удалить DNSChanger — есть бесплатные утилиты (к примеру, от Лаборатории Касперского). Тем не менее сотни тысяч человек поленились это сделать. К настоящему моменту все они, вероятно, уже сидят без связи. Но мало кто им сочувствует. Сеть полна критических публикаций: мол, раз жертвы DNSChanger до сих пор не потрудились очистить свои компьютеры, то либо глупы, либо недопустимо небрежны. И в том и в другом случае они заслужили своё наказание.
Вот только не нужно думать, что те 270 тысяч PC, на которых всё ещё активен DNSChanger, принадлежат исключительно домохозяйкам или пенсионерам. Эксперты, анализируя список IP-адресов заражённых машин, выявили в нём компьютеры, работающие в полусотне богатейших компаний США, федеральных агентствах, образовательных учреждениях и т.п. Даже не задаваясь вопросом «почему», ясно, что этот понедельник станет чёрным для тысяч ни в чём не повинных клиентов этих компаний и организаций. Нужно быть готовым к тому, что люди станут обрывать телефоны служб поддержки — и знать, что посоветовать пострадавшим или как поступить самому, если вы окажетесь в роли жертвы.
Если заражён и отключился от Сети ваш компьютер, временно восстановить его работоспособность можно, вводя вместо имён сайтов их IP-адреса. То есть в примере выше, вместо ibusiness.ru следует ввести в адресную строку 81.23.10.76. Впрочем, если вы уже не знаете IP-адреса нужных вам ресурсов, этот совет вам не поможет.
И тут стоит отметить, что некоторые российские компании позаботились о своих клиентах, ещё на прошлой неделе сообщив им необходимые IP (насколько мне известно, так поступил, в частности, биржевой брокер Алор). Интересным выглядит и пятничное отключение корпоративной сети Сбербанка (см. «Сбербанк за свои карты не отвечает»). Предположение, конечно, смелое — но, возможно, постигший сбербанковские банкоматы блэкаут вызван как раз попыткой удалить DNSChanger с серверов/персоналок компании до того, как рубльник дёрнет ФБР?