9 июля прекратят работу серверы, обслуживающие зараженные вирусом DNSChanger компьютеры. Когда это произойдет, жертвы вредоносной программы фактически лишатся доступа в интернет. Несмотря на то, что органы управления DNSChanger были выведены из строя более полугода назад, а в интернете прошла масштабная информационная кампания, от вируса так и не избавились около 275 тысяч машин.
DNSChanger был впервые обнаружен в 2007 году. Он представляет собой троянскую программу, которая существует в нескольких разновидностях и распространяется традиционными способами — в основном через электронные письма и веб-сайты. DNSChanger поражает и PC, и «маки», причем в последнем случае наиболее распространенным каналом разнесения «заразы» являются порносайты — вирус в этом случае выдает себя за видеокодек для плеера QuickTime.
Заразив компьютер, вирус менял настройки DNS (Domain Name System, служба доменных имен), в результате чего запросы с компьютера обрабатывались не на «правильном» DNS-сервере, а на сервере мошенников. Служба DNS отвечает за сопоставление буквенных (удобных людям) и цифровых (понимаемых машинами) адресов, поэтому ее иногда называют «телефонной книгой интернета». На мошенническом сервере некоторые записи из «книги» были подпорчены — вызывая один сайт, пользователь оказывался совсем на другом. В качестве примера «подмены» часто приводят онлайн-сервисы Apple. Желая открыть веб-версию магазина iTunes, владелец зараженного DNSChanger компьютера попадал на сайт магазина idownload-store-music, не имеющего никакого отношения к «яблочной» компании.
Механизм «подмены» дает операторам вируса несколько способов заработка. Во-первых, можно перегонять посетителей на тот или иной ресурс, получая деньги от его владельца или от рекламодателей. Во-вторых, можно создавать фишинговые сайты, заставляя пользователей вводить там свои личные данные. Данные, в свою очередь, можно перепродать или использовать для кражи средств со счетов. Наконец, можно пустить пользователя на «нормальную» версию сайта, но заменить размещенные на ней рекламные объявления на свои собственные.
Действуя таким образом, мошенники за четыре с лишним года сколотили, по разным оценкам, от 14 до 20 миллионов долларов. Махинаторы были разоблачены осенью 2011 года. По версии ФБР (заражены были, среди прочих, компьютеры в американских военных ведомствах, включая НАСА, и в компаниях из списка Forbes-500), которая взяла дело DNSChanger под свой контроль, деятельность троянца контролировали семь человек: шестеро эстонцев и один россиянин, зарегистрировавшие для этих целей в Тарту компанию Rove Digital.
Шестеро эстонских подозреваемых были задержаны в ноябре. Зимой 2012 года суд уезда Харьюмаа выдал предварительное разрешение на их экстрадицию в США. В апреле 2012 года американскому правосудию был выдан первый из подозреваемых — 27-летний Антон Иванов, которому грозит в общей сложности до 85 лет тюрьмы. Россиянин Андрей Тааме, которого также подозревают в причастности к управлению DNSChanger, пока остается на свободе.
Одновременно с арестом предполагаемых операторов ФБР вывело из строя DNS-серверы, которые направляли пользователей на рекламные и фишинговые ресурсы. Отключение серверов, однако, означало бы для владельцев зараженных машин утрату возможности просматривать любые сайты. Заданные вирусом настройки остались на месте, и запросы с компьютера отсылались бы на несуществующий сервер.
По данным Сергея Голованова, ведущего антивирусного эксперта «Лаборатории Касперского», лидерами по числу заражений DNSChanger стали США и Китай. Чуть меньше пострадавших машин было зафиксировано в России и Германии. За все время своего существования DNSChanger пробрался более чем на четыре миллиона компьютеров в ста странах; на момент вывода серверов из строя вредоносная программа жила более чем на полумиллионе машин.
Чтобы одним махом не лишить доступа в Сеть стольких людей, ФБР пошло на особые меры. Вместо мошеннических узлов были запущены так называемые «чистые» DNS-серверы (clean DNS servers). Они принимают запросы с зараженных компьютеров и обрабатывают их по правилам «телефонной книги». Серверами ведает подрядчик — компания Internet Systems Consortium (ISC). Сразу же было объявлено, что мера с «чистыми» серверами — временная: во-первых, содержание оборудования обходится в копеечку, во-вторых, постоянно поддерживать на плаву жертв троянца, который удаляется как комплексным антивирусным ПО, так и множеством специализированных бесплатных утилит, непедагогично.
Борьбу с рудиментами DNSChanger повели несколькими методами. Появились интернет-ресурсы, которые за пару «кликов» позволяли узнать, есть ли на компьютере вирус или нет. Были опубликованы инструкции для самостоятельной проверки (нужно посмотреть IP-адрес DNS-сервера в настройках и сверить его со списком «опасных» адресов). Апофеозом стали автоматические проверки, которые стали проводить провайдеры и два самых популярных в мире интернет-ресурса — поисковик Google и социальная сеть Facebook.
Google и Facebook на видном месте страницы (в случае с поисковиком — непосредственно над поисковой строкой) отображают сообщение с жирным заголовком «Ваш компьютер может быть заражен». В тексте сообщения дается ссылка на сайт с инструментами для дополнительной проверки и для удаления вируса с компьютера.
Изначально было условлено, что «чистые» серверы проработают до 8 марта. За несколько недель до наступления этой даты срок продлили до 9 июля — главным образом из опасения за судьбы корпоративных пользователей. В начале июля было объявлено, что дата станет окончательной. Дальнейшие отсрочки были сочтены неуместными.
Пропагандистская кампания в Сети дала своим плоды — в середине мая СМИ сообщали о 330 тысяч компьютеров с вирусом, сейчас их число сократилось до 275 тысяч. Именно столько машин, видимо, и лишатся возможности полноценно работать в Сети 9 июля. Главный вопрос, который при этом встает, — кто владельцы этих компьютеров? Воображение рисует образ пользователя-недотепы, не читающего новостей, не посещающего Google и Facebook, игнорирующего все предупреждения и не знакомого с понятием «антивирус». Однако, Google и Facebook входят в «джентльменский набор» интернетчика далеко не во всех регионах (во многих странах, включая Россию они уступают по популярности ресурсам местного розлива), а антивирус может пасть такой же жертвой DNSChanger, как и браузер — из-за неверной обработки запросов он может просто перестать получать обновления.
9 июля доступ в интернет у «носителей» DNSChanger, понятное дело, никуда не пропадет, но сайт можно будет открыть, только вколотив в адресную строку браузера цифры его IP-адреса. Вряд ли найдутся люди, готовые постоянно держать в голове комбинации вида 81.19.85.92 или 77.88.21.3. Проще проверить компьютер на наличие DNSChanger и своевременно удалить вредоносную программу любым из доступных инструментов.