本周，美國聯邦調查局(FBI)宣布將關閉與DNSChanger惡意軟件相關的服務器，這將使得感染到這種威脅的電腦有可能無法訪問互聯網。為此，賽門鐵克提醒廣大用戶，特別是中小企業用戶應立即采取必要的措施，以盡可能降低損失。

目前全球仍受DNSChanger感染的電腦數量至少有30萬臺，這將給很多電腦用戶、尤其是中小企業帶來挑戰。中小企業對互聯網有很大依賴性，他們需要依靠互聯網來完全包括日常溝通、電子商務等工作，而“斷網”對于他們來說，將是一個很嚴重的困擾。同時，由于中小企業通常沒有專門的IT人員，所以DNSChanger帶來的問題可能會給他們造成災難性的影響，除非，他們采取正確的防范措施。被稱為DNSChanger的惡意軟件已經見諸報端，并且引起了業界的持續關注。賽門鐵克提醒廣大用戶：如果不及時采取行動的話，就可能面臨“斷網”的危險。

一位對此感到擔心的賽門鐵克用戶最近向“賽門鐵克安全響應中心”提出了一些問題：比如，這種威脅是怎樣運作的，這種惡意威脅對他或其他用戶將帶來哪些危害意等若干問題。賽門鐵克在此與大家進行分享，希望廣大用戶能對此威脅有深入的了解，并能在必要時采取防范措施。

用戶： DNSChanger是什么?

賽門鐵克安全響應中心：它是一個能夠改變受感染電腦上的域名系統(Domain Name System, DNS)設置的惡意軟件，由此而得名。

用戶：DNS設置是什么?它是怎樣發揮作用的?

賽門鐵克安全響應中心：DNS是一種互聯網服務，它能將用戶友好的域名轉換成電腦用來彼此通信的數字式互聯網協議(IP)地址。當您在自己的網頁瀏覽器地址欄中輸入一個域名時，您的電腦會與DNS服務器聯系，確定該網站的IP地址。然后，您的電腦將利用這個IP地址來定位和聯接該網站。DNS服務器由互聯網服務提供商(ISP)來運行，已經列入在您的電腦的網絡配置中。

圖1：域名系統(DNS)的工作原理

用戶：那么DNSChanger是如何進行攻擊的呢?

賽門鐵克安全響應中心：通過改變一臺電腦的DNS設置，惡意軟件的作者們能夠控制某臺電腦與互聯網上的哪些網站相聯接，能夠迫使某臺受影響的電腦去聯接一個“欺詐網站”，或者把該電腦從一個本想去訪問的網站引開。為了做到這一點，惡意軟件作者需要用惡意代碼去感染電腦，在該案例中，這種惡意代碼就是DNSChanger。一旦某臺電腦了感染這種惡意代碼，惡意軟件便會將DNS設置從ISP的合法DNS服務器地址修改成“流氓DNS服務器地址”。

圖2： DNSChanger的工作原理

用戶：賽門鐵克能保護我們不受這一威脅的影響么?

賽門鐵克安全響應中心：是的，賽門鐵克檢測出這一威脅為Trojan.Flush.K，它最初名叫Trojan.Dnschanger。而且，我們的追蹤監測從2007年1月開始就進行了。

用戶：這也許是個愚蠢的問題，但我想知道為什么這些攻擊者想將我引導到惡意服務器上?

賽門鐵克安全響應中心：實際上這是一個很好的問題，但其答案卻很簡單：利益驅使。Kevin Haley寫了一篇關于網絡攻擊者的動機以及他們是怎樣進行這種犯罪的博文，http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted。

用戶：這一惡意軟件和這種網絡犯罪有多長時間了?事實上，Kevin Haley說，那些惡意攻擊者在去年年底就被FBI抓住了!

賽門鐵克安全響應中心：是的，沒錯。實際上FBI有一篇關于Operation Ghost Click的好文章，是關于如何抓獲這一犯罪團伙的調查工作的，值得一讀。

用戶：那么為什么現在他們還這么猖獗?

賽門鐵克安全響應中心：我很高興您問這個問題。FBI曾通過法庭命令要求“互聯網系統聯盟”(ISC)部署和維持安全的DNS服務器，來代替由惡意攻擊者運行的“流氓DNS服務器”，以便給使用被感染電腦的用戶留出足夠的時間來清除該威脅。然而，這只是一個臨時性解決方案，由ISC依照法庭命令運行的服務器將在2012年7月9日被關閉。一旦這種情況發生，仍然被感染的電腦將失去互聯網連接，可能引起大面積的“斷網”。

用戶：那么，被這種威脅所感染的電腦是不能訪問某些網站，還是所有網站呢?

賽門鐵克安全響應中心：不，是不能訪問所有網站。將失去互聯網連接。如果您的電腦在7月9日仍然在使用指向FBI服務器的DNS條目，那么您將徹底不能訪問互聯網：不能從家里連接辦公室，不能更新Facebook內容，在DNS設置修復之前什么都不能做。

用戶：我怎樣才能弄清我的電腦是否被DNSChanger感染?

賽門鐵克安全響應中心：一個名叫“DNSChanger 工作組(DCWG)”的特別行動小組已經成立，來幫助人們確定他們的電腦是否已被這一威脅感染，同時也幫助他們清除該威脅。用戶可訪問由DCWG維護的DNS Changer Check-Up頁面，以確定其電腦是否被感染。也有由DCWG的Detect 頁面上所列的其他機構所維護的采用各種不同語言的其他頁面。各種不同機構也在主動告知用戶他們的電腦是否被DNSChanger感染。FBI還編寫了關于怎樣手動確定一臺電腦是否被感染的說明，請點擊：http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf。

除了檢測惡意代碼外，被DNSChanger感染的賽門鐵克和諾頓客戶，還可以通過我們配有的一個被稱為SecurityRisk.FlushDNS的檢測系統的終端產品進行檢測。

用戶：為什么賽門鐵克的產品不能自動為用戶修復DNS設置?

賽門鐵克安全響應中心：賽門鐵克的產品不能恢復某臺被感染電腦上的DNS設置，是因為我們無法知道其原始設置是什么。

用戶：賽門鐵克還有什么措施可以避免我們受到類似威脅呢?

賽門鐵克安全響應中心：我們有自己的DNS服務器，通過相應的配置他們可以阻攔不安全的網站。這種產品被稱為Norton ConnectSafe，相當不錯，而且完全免費，詳情點擊：https://dns.norton.com/dnsweb/homePage.do