Vier miljoen besmette computers plegen advertentiefraude

 

Ruim vier miljoen computers blijken besmet met een DNS-worm die je pc naar een ander internetadres stuurt dan bedoeld. Operation Ghost Click van de  FBI haalde het netwerk uit de lucht. Controleer zelf of  je pc - of  Mac - besmet is.

Achtergrond

De FBI heeft in samenwerking met de Nederlandse KLPD een netwerk van computercriminelen opgerold die maar liefst 4 miljoen pc’s besmet hadden met kwaadaardige software. Er zijn zeven bendeleden uit Estland aangehouden die verdacht worden van fraude, computerinbraak en witwassen van geld, maakte de opsporingsorganisatie gisteren bekend. De cybercriminelen hadden een bijzonder ‘verdienmodel’: ze deden zich voor als een online advertentienetwerk en leidden besmette computers  naar de advertenties, zodat het leek alsof er echte gebruikers naar keken. Met die oplichting verdienden ze 14 miljoen dollar (10,3 miljoen euro). Ook manipuleerden ze de resultaten van zoekmachines door computergebruikers naar de verkeerde websites om te leiden. ‘Operatie Ghostclick’ rolde het grootste botnet tot  nu toe op:  wereldwijd waren vier miljoen computers, waarvan 500.000 in de VS, besmet met de zogeheten DNS Changer Trojan die het internetverkeer omleidde.

De software had zich vermomd als een plugin die noodzakelijk was om een filmpje af te spelen. Wie daarop klikte, was besmet.  DNS, oftewel domain name system, zorgt ervoor dat een begrijpelijke domeinnaam (zoals nrc.nl) wordt vertaald in een adres dat de computer begrijpt (voor nrc: 62.112.238.21). De kwaadaardige software manipuleerde die gegevens en blokkeerde bovendien updates en antivirussoftware, waardoor de kwetsbaarheid voor andere malware toenam. Het aantal Nederlandse besmettingen is niet bekend. Om erachter te komen of ze besmet zijn kunnen computergebruikers bij hun netwerkinstellingen kijken of er onbekende DNS-nummers in staan. Inmiddels heeft de FBI samen met de KLPD de verdachte servers, meer dan 100, uit de lucht gehaald.

Aanpak

FBI  publiceerde de DNS-nummers (zie onder) zodat je zelf kunt kijken of er vreemde DNS-instellingen op je computer staan. Ook kun je hier je DNS-gegevens invullen om te zien of je omgeleid wordt. Voor Windows: open een Commando-venster (cmd.exe) en tik ipconfig/all. Daarin staan de gebruikte DNS-servers opgesomd. Kijk hier hoe je de DNS-instellingen kunt controleren en welke servers daar niet in thuis horen. Je kunt voor Windows een check doen met bijvoorbeeld de Housecheck van Trend Micro, het bedrijf dat meehielp het cybercrimenetwerk te ontdekken.

Voor Apple-gebruikers geldt:  Systeeminstellingen/Netwerk/Geavanceerd/DNS. Voor Mac zijn removal tools ontwikkeld.

Lijst met door de FBI gepubliceerde DNS serversLijst met door de FBI gepubliceerde DNS servers

    • Marc Hijink