DhcpNameServer cambia dopo il riavvio
/ 2
Details
- Dettagli
- Pubblicato Giovedì, 01 Settembre 2011 13: :43
- Visite: 501
DhcpNameServer è un valore di registro che contiene una lista di Domain Name Servers (DNS), ovvero dei server a cui il computer si collegerà per risolvere i nomi host delle connessioni.
I server DNS svolgono un ruolo fondamentale e nel caso in cui venissero cambiati con degli indirizzi "malevoli", un nome host potrebbe corrispondere ad un indirizzo IP fittizio, quindi potremo essere facilmente dirottati su siti indesiderati (l'avvelenamento della cache DNS è un fenomeno correlato, ma non riguarda il sintomo trattato nell'articolo).
Di default non è impostato alcun server DNS, infatti saremo connessi al server più vicino.
In alternativa è possibile impostare dei server DNS, come quelli di Google o OpenDNS (in fondo le istruzioni).
Sintomi
A seconda delle varianti del malware DNS-Changer, avremo diversi tipi di sintomi; il più comune è caratterizzato da popup pubblicitari indesiderati durante il normale utilizzo del PC.
In questo caso non importa il tipo di sintomo, in quanto la soluzione è piuttosto comune.
Vediamo come capire se si è infetti:
- Accedere allo Stato della Connessione
- Visualizzare i dettagli
Se non siamo infetti il Server DNS dovrebbe essere del tipo 192.168.*.* (nella maggior parte dei casi corrisponde all'IP locale del router, quindi al Getaway).
Nota: Se in precedenza sono stati impostati dei server DNS alternativi (es. OpenDNS/DynDNS) visualizzeremo i loro IP.
Rimuovere l'infezione DNS-Changer
Per essere sicuri di svolgere un buon lavoro, dovremo accedere al Registro di Sistema:
- Start -> Esegui (Win+R) e digitare regedit
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
- Valore di DhcpNameServer
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}
- Valore di DhcpNameServer
Potremo provare a ripristinare il driver tcpip.sys, ma nel caso in cui questa procedura non produca risultati, significa che l'infezione è nel router.
Se abbiamo un router con scarse protezioni (anche con la password predefinita o mancante), questa potrebbe essere la causa. Infatti la variante Trojan.DNS-Changer va a modificare i server DNS proprio nelle impostazioni del router, e automaticamente la scheda di rete eredita quell'impostazione. Con alcuni router, l'infezione ne impedisce l'accesso.
Per risolvere il problema basterebbe semplicemente resettare il router.
Nota: Leggere le istruzioni, perchè in alcuni casi è necessario tenere premuto il tasto del reset per un tot di secondi, affinchè il reset abbia successo.
Dopo aver resettato il router, le impostazioni DNS dovrebbero tornare predefinite e non avremo neanche bisogno di rimuovere manualmente i valori "infetti".
Infine non farebbe male una scansione completa con un antivirus e MalwareBytes, e un'analisi con questi tools:
Raccomandazioni
Dopo aver risolto il problema, non potremo mai essere sicuri che i nostri dati siano realmente nostri! Quindi raccomanderei di cambiare le password degli account più importanti che avete (es. PayPal, banche varie, ebay ecc...).
Come impostare un server DNS
Come riportato all'inizio della guida, è possibile impostare come server DNS predefinito, quello di Google o di altri servizi.
- Entrare in Connessioni di Rete
- Aprire la Connessione alla Rete predefinita
- Proprietà
- Protocollo Internet (TCP/IP) (in Windows Vista e superiori è chiamato Ipv4)
- Utilizza i seguenti Server DNS:
Scegliere uno dei seguenti servizi (io uso Google Public DNS!)
| Nome servizio | Server DNS primario | Server DNS alternativo |
| Google Public DNS | 8.8.8.8 | 8.8.4.4 |
| OpenDNS | 208.67.222.222 | 208.67.220.220 |