lilidurhone Banni(e)
Messages : 11 Points : 18 Réputation : 3
| Sujet: Infection détournement de DNS Sam 9 Mar - 0:59 | |
| |
Infection détournement DNS/Wareout/Trojan.DNSChanger qu'est ce que c'est :
Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. Prenons un exemple, lorsque vous voulez vous connecter sur https://faei-entraide.forumactif.org, votre ordinateur envoie une requête aux serveurs DNS que vous utilisez, et ceux-ci renvoient l'adresse IP du site 173.193.11.22 pour que votre ordinateur puisse s'y connecter.
Des infections en profite alors pour modifier les serveurs DNS utilisés par l'ordinateur afin de vous rediriger vers des sites malveillants que ceux que vous souhaitez consulter. Cela s'appelle un détournement de DNS, c'est à dire redirection des recherches sur internet. On peux voir cette infection apparaitre aux lignes O17 des logiciels de diagnostic.
Exemple de lignes issues d'un rapport ZHP diag démontrant l'infection :
- Code:
-
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7E97DB-6802-478F-B4E3-25AD31FA4716}: NameServer = 85.255.115.59,85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CCS\Services\Tcpip\..\{41586ED6-D02E-474A-8BF8-47D54896EE3D}: NameServer = 85.255.115.59,85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CCS\Services\Tcpip\..\{E54CE982-30EF-4A19-AEF7-19EB60B5C223}: NameServer = 85.255.115.59,85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CCS\Services\Tcpip\..\{EA9D2186-003E-41FB-A957-8DAA84D9CD22}: NameServer = 85.255.115.59,85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.59 85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7E97DB-6802-478F-B4E3-25AD31FA4716}: NameServer = 85.255.115.59,85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.59 85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7E97DB-6802-478F-B4E3-25AD31FA4716}: NameServer = 85.255.115.59,85.255.112.126 => Infection détournement DNS O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.59 85.255.112.126 => Infection détournement DNS
Exemple de lignes issues d'un rapport Malwarebytes démontrant l'infection :
- Code:
-
Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.36 85.255.112.41 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d8295a6a-f9dd-4c1a-976c-afaf64ef9c50}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.36 85.255.112.41 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.36 85.255.112.41 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d8295a6a-f9dd-4c1a-976c-afaf64ef9c50}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.36 85.255.112.41 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.36 85.255.112.41 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{d8295a6a-f9dd-4c1a-976c-afaf64ef9c50}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.36 85.255.112.41 -> No action taken.
Comment faire pour s'en débarrasser :
- Pour s'en débarrasser, il faut utiliser : - Cet outil généraliste MalwareBytes Anti-Malware afin de supprimer les détournements. - Ou fixer les lignes 017 avec ZHP fix.
Comment faire pour l'éviter :
- Tout simplement en faisant attention à ce que l'on fait sur Internet et son ordinateur, réfléchir avant d'agir afin de ne pas se faire infecter et surtout télécharger depuis les sites officiels.
Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum : => https://faei-entraide.forumactif.org/f4-virus-securite
|
| |
|