مقابله با Dnsunlocker

dnsunlocker یک بدافزار نمایش دهنده تبلیغات است. سایت سازنده آن مدعی شده به راحتی از سیستم های آلوده حذف می شود.

روش کار آن بسیار ساده است با اضافه کردن چند خط اسکریپت به انتهای برخی فایل های JS می تواند از دامنه های دیگری جهت بارگذاری تبلیغات استفاده کند. فایل هایی که تا کنون شناسایی شده analytics.js، ga.js و urchin.js از دامنه google-analytics.com است.

google-analytics.com یک سایت آمارگیر متعلق به شرکت گوگل است که خدمات رایگان در اختیار صاحبان وب سایت ها قرار می دهد. بیشتر وب مسترها به خاطر امکانات و کیفیت این سرویس از آن استفاده می کنند. بدافزار dnsunlocker از این فرصت استفاده کرده و تقریبا بیشتر سایت های کوچک و متوسط را درگیر کرده است.

در ۲ سناریو مختلف به مقابله به این بدافزار می پردازیم.

۱- شما صاحب وب سایتی هستید که از google-analytics.com استفاده می کنید و برخی کاربران بدلیل آلودگی به بدافزار(آلودگی به ۲ روش) ظاهر سایت شما را با تبلیغ می بینند.

توجه داشته باشید این بدافزار درحال حاضر فقط کلاینت ها را هدف قرارداده و هیچ مشکلی بر روی سرور گزارش نشده است.

با توجه به نحوه عملکرد این بدافزار ساده ترین راه مقابله در سمت سرور تغییرمسیر دسترسی به فایل های analytics.js، ga.js و urchin.js است. برای مثال شما به صورت موقت فایل را دانلود و از طریق هاست خود آن را سرویس دهی کنید. در این صورت dns سرور ها و کش سرور های آلوده از مسیر دسترسی خارج شده و فایل صحیح به کاربر سایت شما خواهد رسید.

۲- شما کاربری هستید که در بیشتر سایت ها تبلیغات یکسان با موضوع dnsunlocker میبینید. در این سناریو ۲ حالت وجود دارد. اول اینکه سیستم شما به صورت مستقیم به بدافزار آلوده شده است. حالت دوم سیستم شما کاملا پاک است ولی فایل هایی که از اینترنت دریافت می کنید آلوده است. (در این حالت ISP درگیر شده)

خیلی مهم: درصورتی که سیستم شما آلوده نیست و توسط روش هایی که در انتهای مقاله توضیح داده شده برای شما مشخص شد که مشکل از شبکه یا ISP است به هیچ وجه از نرم افزارهای ضد بدافزار استفاده نکنید. خود این نرم افزار ها ممکن است آلوده به بدافزار های دیگر باشند که مشکلات شما چندین برابر کنند. درصورتی که مشخص شد سیستم شما آلوده شده بهترین روش نصب مجدد سیستم عامل است. (در نصب جدید حتما قبل از نصب درایورها، یک آنتی ویروس حتی نسخه trial نصبکنید. تا قبل از نصب آنتی ویروس هیچ یک از درایو های دیگر سیستم، فلش، هارد اکسترنال، سایت های متفرقه و … را باز نکنید.)

روش اول برای مسدود سازی – ساده ترین روش مسدود کردن دسترسی رایانه، گوشی و … به سایت google-analytics.com است. این کار هیچ مشکلی در ارائه خدمات سایت ها ایجاد نمی کند. برای مسدود سازی دسترسی به سایت فوق می توانید وارد تنظیمات مودم خود شده و دسترسی به URL فوق را مسدود کنید.

برای ورود به تنظیمات مودم (به صورت پیش فرض)

  • ابتدا مرورگر وب را باز کنید.
  • وارد نشانی ۱۹۲٫۱۶۸٫۰٫۱ یا ۱۹۲٫۱۶۸٫۱٫۱ (این ۲ نشانی به صورت پیش فرض برای مودم ها تنظیم شده است)
  • در پنجره ای که باز می شود username و password مودم را وارد کنید. (به صورت پیش فرض admin و admin)
  • معمولا در صفحه Application بخش Firewall یا URL Filter Setup می توانید با وارد کردن نشانی هر سایتی دسترسی به آن را محدود کنید.

مهم: درصورتی که هنوز مودم شما از admin، admin استفاده می کند حتما آن را با کلیمه عبور قویتری جایگزین کنید.

روش دوم برای مسدود سازی –

  • به نشانی C:\Windows\System32\drivers\etc بروید. (با فرض اینکه ویندوز در درایو C نصب شده)
  • فایل hosts را داخل notepad بازکنید.
  • در انتهای فایل خط زیر را وارد کنید. فایل را ذخیره و سیستم را ریست کنید.

۰٫۰٫۰٫۰ google-analytics.com

مهم: برای بازکردن فایل باید اول notepad را از طریق run as administrator باز کنید. از منوی file/open داخل notepad فایل hosts را باز کنید. در غیر این صورت سیستم اجازه ویرایش فایل hosts را نخواهد داد. ۰٫۰٫۰٫۰ (بین صفر ها نقطه است)

 

روش شناسایی آلوده بودن سیستم به بدافزار،

بدافزار dnsunlocker در هرجایی ممکن است وجود داشته باشد.

  • پلاگین های فایرفاکس، extension های کروم، add-on های IE، تمامی موارد را دقیقا بررسی کنید، هر مورد مشکوکی را حذف کنید.
  • Task Scheduler ویندوز را دقیقا بررسی کنید.
  • Programs & Features ویندوز را جهت وجود بدافزار بررسی و در صورت مشاهده مورد مشکوک uninstall کنید. (توجه داشته باشید ممکن است با نام های دیگری غیر از dnsunlocker  نصب شده باشد)
  • حتما تنظیمات مرورگرهای خود را reset کنید.

روش شناسایی وجود بدافزار روی dns سرور ISP

برای اینکار کافی است دامنه هایی که وجود ندارد را ping کنید. در اصطلاح امنیت شبکه به این روش هک dns hijacking گفته می شود. برای مثال وارد cmd شده و این دستور را اجرا کنید.

ping domain-vojod-nadarad.com

اگر پیغام “Ping request could not find host domain-vojod-nadarad.com. Please check the name and try again.” نمایش داده شد dns سرور مشکلی ندارد. در غیر این صورت آلوده است و باید از dns سرور دیگری استفاده کنید.

روش شناسایی cache آلوده در ISP

باتوجه به روش های مختلف cache شناسایی اینکه صفحه یا فایلی از cache بارگذاری می شود مشکل است.

توجه داشته باشید به صورت پیش فرض برای فایل هایی مانند analytics.js، ga.js و urchin.js که تقریبا در بیشتر سایت ها و صفحات استفاده شده حتما ISP از cache استفاده می کند.

dns سرورهای امن

استفاده از ۸٫۸٫۸٫۸ یا ۸٫۸٫۴٫۴ مربوط به گوگل توصیه می شود.

مهم: حتی اگر dns سرور ها را تنظیم کنید فایل های دریافتی از cache مربوط به ISP ممکن است همچنان آلوده باشد. برای جلوگیری بهتر است ابتدا دسترسی به google-analytics.com را مسدود کنیم.

 

در انتها مسدود بودن دسترسی کاربران به google-analytics.com مشکلاتی برای وب مسترها و صاحبان سایت ها ایجاد خواهد کرد. متاسفانه این بدافزار سیستم های زیادی را آلوده کرده و از کنترل خارج شده است. تا زمانی که ISP ها اقدامات لازم جهت کنترل فایل های ذخیره شده در cache را انجام ندهد و dns های معیوب را جایگزین نکنند راه دیگری وجود ندارد.

آموزش ADO.Net – جلسه ۱

ADO.Net مجموعه ای از کامپوننت ها برای دسترسی به پایگاه داده ها است.  با استفاده ADO.Net می توانید به اطلاعات ذخیره شده در پایگاه داده ها دسترسی داشته باشید. در برنامه نویسی تجاری یکی از مهمترین بخش ها ذخیره و بازیابی اطلاعات است.

برای شروع تمامی کلاس ها از Namespace(فضای نام) System.Data.SqlClient استفاده می شود.