Varning! Eventuell virussmitta via Telias DNSer

Trädvy Permalänk
Medlem
Plats
Svartå
Registrerad
Jan 2012

Varning! Eventuell virussmitta via Telias DNSer

Hallå allesammans. Jag vill bara varna för att ni EVENTUELLT, kan komma att få virus till era datorer.
Nu för bara några minuter sedan i skrivande stund, så anslöt sig min dator till internet igen efter Telias tjänste-nedgång.
Och efter att jag haft webbläsaren uppe i drygt 30 sekunder, så får jag tre olika trojaner.
Tur nog så kör jag med AVG Free Antivirus, så skiten kom inte längre än så.
Men tyvärr så finns det fortfarande personer som kör utan antivirus, och då kan dessa datorer ha blivit smittade.
Jag misstänker att det nämligen var återkopplingen, då endast Blocket.se och Sweclockers.com var mina öppna flikar.
/Lifooz

Rubrik något förtydligad.

Charles Bukowski, poet och författare

"Hur i helvete ska en människa kunna njuta av att väckas 6.30 på morgonen av en alarmklocka, hoppa upp ur sängen, klä på sig, tvinga i sig mat, borsta tänder och hår, och kämpa sig genom trafiken för att ta sig till en plats där man i all väsentlighet tjänar massor av pengar åt någon annan och samtidigt förväntas vara tacksam över möjligheten?"

Trädvy Permalänk
Medlem
Registrerad
Sep 2011

Möjligt att dom har infekterat DNS servrarna (redirectar osv), antar jag.

Trädvy Permalänk
Medlem
Registrerad
Aug 2010

Byt DNS server till Google (8.8.8.8 och 8.8.4.4):
#15076829

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014

Fan va smart ändå.. (Missförstå mig inte, jag är emot detta!)

Tack Lifooz för infon!

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jun 2012
Skrivet av imjohannes5670:

Fan va smart ändå.. (Missförstå mig inte, jag är emot detta!)

Tack Lifooz för infon!

Håller helt med

3570k 4.7 ghz - ASUS 660ti - 4*4gb - 840 250gb
Citera för svar
/Jacob

Trädvy Permalänk
Medlem
Plats
Framför datorn...
Registrerad
Okt 2014

Tur att jag inte har telia.

1TB Western Digital Green | 120gb Intel 530 SSD | HyperX Fury 8gb 1600MHz | Cooler Master Hyper 212 EVO | Gigabyte GTX 980 G1 Gaming | Fractal Design Define R4 | Fractal Design Integra M 550W | ASUS Z97-A | Intel Core i5 4690k | Windows 10

Trädvy Permalänk
Medlem
Plats
Svartå
Registrerad
Jan 2012
Skrivet av buchno:

Byt DNS server till Google (8.8.8.8 och 8.8.4.4):
#15076829

Hm, skall kanske testa detta om något mer skulle hälsa på.

Skrivet av m4gnify:

Möjligt att dom har infekterat DNS servrarna (redirectar osv), antar jag.

Precis, skevt dock att inget mer fönster öppnades, men det går garanterat att kringgå detta precis som med Cracks till spel.

Skrivet av imjohannes5670:

Fan va smart ändå.. (Missförstå mig inte, jag är emot detta!)

Tack Lifooz för infon!

1) Håller med, snacka om att kunna begå grov stöld av data från folk. Hela tiden hittas det på nya system för att sno åt sig vårat innehåll.
En jävla tur att jag kör antivirus då jag har data av både känslig och okänslig typ.
2) Inga problem, liksom apor hästar ekorrar och andra djur så varnar vi varandra när det är jävelskap på gång.

/Lifooz

Charles Bukowski, poet och författare

"Hur i helvete ska en människa kunna njuta av att väckas 6.30 på morgonen av en alarmklocka, hoppa upp ur sängen, klä på sig, tvinga i sig mat, borsta tänder och hår, och kämpa sig genom trafiken för att ta sig till en plats där man i all väsentlighet tjänar massor av pengar åt någon annan och samtidigt förväntas vara tacksam över möjligheten?"

Trädvy Permalänk
Medlem
Registrerad
Dec 2013

Drabbar detta ComHem?

CPU: Intel i5 4690K, PSU: Corsair 750W, RAM: ADATA 2x4GB, SSD/HDD: ADATA 256GB, Seagate 2TB. GPU: MSI GTX 780 3GB, CPU-kylning: Noctua NH-d14 Moderkort: MSI Gaming 5 Z-97, OS: Windows 8.1 Pro.

Jag avskyr att vara en på miljonen.

Trädvy Permalänk
Medlem
Plats
Svartå
Registrerad
Jan 2012
Skrivet av RottenEgg:

Tur att jag inte har telia.

Ibland skall man ha flyt.;) Själv har jag inget annat val än att köra Telias ADSL. Det är det enda som vill fungera för mig.

Skrivet av Helling:

Drabbar detta ComHem?

Svårt att säga, Jag vet inte i nuläget om ComHem också haft attacker. Och om dom nu har haft det så kan mycket väl vederbörande jävelskapsmakare ha gjort precis samma sak. Det bästa i ditt fall om du inte kör antivirus program, är att ladda ner t.ex samma som jag AVG Free Antivirus 2015. Och söka igenom hela datorn grundligt.

/Lifooz

Charles Bukowski, poet och författare

"Hur i helvete ska en människa kunna njuta av att väckas 6.30 på morgonen av en alarmklocka, hoppa upp ur sängen, klä på sig, tvinga i sig mat, borsta tänder och hår, och kämpa sig genom trafiken för att ta sig till en plats där man i all väsentlighet tjänar massor av pengar åt någon annan och samtidigt förväntas vara tacksam över möjligheten?"

Trädvy Permalänk
Medlem
Plats
Svartå
Registrerad
Jan 2012

Btw, tack Daemon. Tänkte inte på att skriva med Telias namn i rubriken när jag smattrade tangenter.:)
/Lifooz

Charles Bukowski, poet och författare

"Hur i helvete ska en människa kunna njuta av att väckas 6.30 på morgonen av en alarmklocka, hoppa upp ur sängen, klä på sig, tvinga i sig mat, borsta tänder och hår, och kämpa sig genom trafiken för att ta sig till en plats där man i all väsentlighet tjänar massor av pengar åt någon annan och samtidigt förväntas vara tacksam över möjligheten?"

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Lifooz:

Hallå allesammans. Jag vill bara varna för att ni EVENTUELLT, kan komma att få virus till era datorer.
/Lifooz

Nej, det är super-duper jätteomöjligt att få ett virus "via Telias DNSer".

Vad du än har för problem så beror det inte på att du fått ett svar på ett namnuppslag.

Trädvy Permalänk
Medlem
Registrerad
Sep 2004

Jag förstår inte riktigt - hur kan man få trojaner från en DNS-server, hur skulle det gå till egentligen?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2004
Skrivet av Bengan999:

Jag förstår inte riktigt - hur kan man få trojaner från en DNS-server, hur skulle det gå till egentligen?

Inte direkt men indirekt. Ett mycket tänkbart scenario är autoupdate av programvaror.

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Jan 2011
Skrivet av iXam:

Inte direkt men indirekt. Ett mycket tänkbart scenario är autoupdate av programvaror.

Va?

Har också svårt för att se att man skulle få Virus från en DNS server men men...

Asrock P67 Extreme 4 | i5 2500K@4,5Ghz | Asus GTX 970 black | 2x Intel 520 180gb, 2x WD blue 5tb | 8GB Corsair XMS3 + 8GB Hyper x Fury | EVGA Supernova G2 750W Gold | Silverstone FT02

https://prism-break.org/sv/

Trädvy Permalänk
Medlem
Plats
A.ROOT-SERVERS.NET
Registrerad
Jul 2001

Nej, man kan inte få virus från en DNS-server.

Medlem #14

CISSP, MCT,MCITP, MCSE+Security, MCSE+Messaging, Inet+, Network+,MCT, MCP,CNA, CCA, CCNA, A+

Trädvy Permalänk
Medlem
Plats
A.ROOT-SERVERS.NET
Registrerad
Jul 2001
Skrivet av Lifooz:

Btw, tack Daemon. Tänkte inte på att skriva med Telias namn i rubriken när jag smattrade tangenter.:)
/Lifooz

Har du något bevis på att du har fått virus från Telia, en logg eller så? skärmdump kanske?

Medlem #14

CISSP, MCT,MCITP, MCSE+Security, MCSE+Messaging, Inet+, Network+,MCT, MCP,CNA, CCA, CCNA, A+

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2004
Skrivet av Baxtex:

Va?

Har också svårt för att se att man skulle få Virus från en DNS server men men...

Då får jag förklara lite mer ingående.
Såvida den lokala resolvern (som ropar på DNS-servrar för svar) inte kan hackas via ex buffer overflow så kan man använda en hijackad DNS-server till att redirecta exempelvis uppdateringar av program.
Tänk dig att program1 kollar om det finns en uppdatering genom att anropa http://domain.tld/version.txt för att se om det kommit en ny uppdatering av programmet. Då skickar den hackade DNS-servern vidare just detta anrop till en egen server som säger att "visst det finns en ny uppdatering".
Sen när programmet hämtar uppdateringen sker en liknande redirect som då skickar med en skadlig programvara tillsammans med den riktiga uppdateringen (eller en gammal version) så användaren inte ska misstänka något.

Det är ett tänkbart scenario.
"Liknande" har använts via TOR (http://threatpost.com/researcher-finds-tor-exit-node-adding-m...)

Hoppas det hela är lite mer klarare nu.

Skrivet av JenzA:

Nej, man kan inte få virus från en DNS-server.

Med en buffer overflow i en lokal resolver är det inte otänkbart.

Trädvy Permalänk
Medlem
Registrerad
Aug 2007
Skrivet av Lifooz:

Hallå allesammans. Jag vill bara varna för att ni EVENTUELLT, kan komma att få virus till era datorer.
Nu för bara några minuter sedan i skrivande stund, så anslöt sig min dator till internet igen efter Telias tjänste-nedgång.
Och efter att jag haft webbläsaren uppe i drygt 30 sekunder, så får jag tre olika trojaner.
Tur nog så kör jag med AVG Free Antivirus, så skiten kom inte längre än så.
Men tyvärr så finns det fortfarande personer som kör utan antivirus, och då kan dessa datorer ha blivit smittade.
Jag misstänker att det nämligen var återkopplingen, då endast Blocket.se och Sweclockers.com var mina öppna flikar.
/Lifooz

AVG Antivirus är kända för att ge false-positives, alltså falska varningar när det i själva verket inte är något. Kan du bidra med någon definition av malware'et du fått eller kan du bidra med skärmdumpar?

MSI Z77A-S03 Inet Ed. | i5 2500k @ 4.2Ghz | 2x Intel 520 SSD + 3TB Lagring | 8GB Corsair XMS3 | ASUS 760 DCII 2GB OC | EVGA Supernova G2 750W Gold+ | Fractal Design R4 | Phantek PH-TC14PE | Citera eller Pinga mig för svar!

Trädvy Permalänk
Medlem
Plats
Svartå
Registrerad
Jan 2012
Skrivet av xtQ:

AVG Antivirus är kända för att ge false-positives, alltså falska varningar när det i själva verket inte är något. Kan du bidra med någon definition av malware'et du fått eller kan du bidra med skärmdumpar?

Det enda jag hittar är ett arkiv, men det är tomt.
/Lifooz

Charles Bukowski, poet och författare

"Hur i helvete ska en människa kunna njuta av att väckas 6.30 på morgonen av en alarmklocka, hoppa upp ur sängen, klä på sig, tvinga i sig mat, borsta tänder och hår, och kämpa sig genom trafiken för att ta sig till en plats där man i all väsentlighet tjänar massor av pengar åt någon annan och samtidigt förväntas vara tacksam över möjligheten?"

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jul 2010

Detta låter ju läskigt.. Kör med Comhem(som förvisso inte fungerade i förrgårkväll), men ska nog ta en runda på alla datorer iaf..

Dator: Mobo: Gigabyte Z77-UD3H Cpu: Intel Core i5 3570K @ 4,6Ghz OC --- CoolerMaster Hyper 212 EVO GFX-card: Sapphire Radeon R9 280X Toxic PSU: Corsair RM 650W RAM: 8Gb(2gbX4) @ 1333Mhz.
Övrigt: Surfplatta: Asus eee Pad Transformer Prime TF201 Rooted Androwook 2.2(Android 4.2) Telefon: Samsung Galaxy S6 Edge 32GB stock ROM

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Det är fortfarande väldigt osannolikt att TS skulle bli infekterad via Telias DNS server och det är mest trovärdigt att det är AVG som spökar och ingenting annat.

Sedan så gick Telia ut med ett meddelande för typ 6 timmar sedan att stormen Alexander skulle dra in över södra och västra Sverige som mycket möjligt skulle påverka deras tjänster. Så om TS internet gick ned så beror det nog på storm och inte att någon hacker skulle ha sänkt DNS och när den sedan gick upp skulle installera en massa virus.

Trädvy Permalänk
Medlem
Registrerad
Maj 2003

Telias nät har under flera veckor varit utsatta för olika typer av DNS-attacker och Hijacking.
Se denna tråd t.ex.
http://www.sweclockers.com/forum/showthread.php?t=1335937
Varnade olika instanser för dessa problem LÅNGT innan denna nya attack, men ingen verkar bry sig förrän det är försent.

Trädvy Permalänk
Medlem
Registrerad
Jun 2008

Har man lyckats ta över en DNS server så kan man i teorin omdirigera till fel adress. Om jag slår in Google.se som vanligtvis leder till 1.1.1.1.1 så kan en ev. hackare se till att jag istället hamnar på 2.2.2.2.2 när jag slår in google.se. Det är därför inte omöjligt att någon ex hackar en DNS och redirectar till virus.com/virus.exe när du slår in "google.se" i webbläsaren. Om ex Adobe då matat in update.adobe.com så kan man fejka en uppdatering av ex Photoshop som innehåller skadlig kod. Nu krävs det sannerligen mer verifikation i Adobe-fallet men sannolikt inte med alla mjukvaror.

Hela syftet med en DNS är att översätta domäner till dess motsvarande IP, har man kontroll över detta kan man exempelvis ändra så att "google.se" leder till "bing.com" och tvärt om. Det är bla därför man använder https numera så att trafiken:
1. Krypteras
2. Man kan bekräfta att man faktiskt nått rätt site och att ingen skickat en fel på vägen.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Feb 2002

Skämtar ni eller.. De har inte tagit över någon av deras DNSer. De har överbelastat den eller någon närliggande komponent. Virus hade du nog fått ändå, lätt att skylla på annat.

... zzZZzzzZzzzzzZzzz ....

Trädvy Permalänk
Medlem
Registrerad
Maj 2003

Hur menar du att han hade fått virus ändå?
Vet inte exakt vad TS case handlar om, men om man utgår från det jag observerat nu under flera veckor så byts DNS automatiskt ut och det enda man behöver göra är att koppla in t.ex. DSL-sladden och detta även med nya modem som aldrig använts. Visserligen är det svårt att svara på vem man ska skylla på då t.ex. D-Link vägrar kommentera detta öppet. Kopplade in samma modem hos en annan ISP och fick inte modemet kapat på en halv sekund iaf.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Om det du säger stämmer har du ett säkerhetshål i webbläsaren eller annan applikation. Seriösa tjänster som kollar uppdateringar (tex. Windows update) kontrollerar om certifikatet uppdateringsservern tillhandahåller är giltligt. Skapar man då en proxy som tillhandahåller uppdateringar med virus måste man in i microsofts server och komma åt certifikatet för att installera i sin proxy

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Bozzeta:

Telias nät har under flera veckor varit utsatta för olika typer av DNS-attacker och Hijacking.
Se denna tråd t.ex.
http://www.sweclockers.com/forum/showthread.php?t=1335937
Varnade olika instanser för dessa problem LÅNGT innan denna nya attack, men ingen verkar bry sig förrän det är försent.

Det där har inget med Telias DNS att göra, jag läste dina inlägg och det verkar som din router har blivit kapad utifrån och satt ett ip från GhostNet i Tyskland som erbjuder server tjänster via ett datacenter. Sedan så var resten angående adware riktad reklam som finns i datorer, det har även inget med DNS att göra och har varit ett problem i över 10år, men är ingenting som är egentligen farligt.

Trädvy Permalänk
Medlem
Registrerad
Maj 2003

Nej men jag har inte heller påstått att det är deras DNS som vidarebefordrar mig till skadliga sidor, utan att deras nät inkl tele2 är föremål för dessa attacker. Att Lifooz gör den slutsatsen får stå för honom.