15. février 2012

Infection DNSChanger – Vérifier et réparer son système

15/02/2012 | Montrouge  Le 8 mars 2012, de nombreux internautes français pourraient ne plus pouvoir naviguer sur Internet. Le code malveillant DNSChanger manipule les paramètres réseau des systèmes infectés et redirige les utilisateurs vers des serveurs DNS manipulés. Ces serveurs, maintenant sous le contrôle du FBI américain, seront mis hors ligne le 08 mars 2012. Principale conséquence, des millions d’utilisateurs à travers le monde utilisant ces serveurs ne pourront plus accéder à Internet. G Data donne tous les conseils pour vérifier et réparer sa configuration système. 

L’infection massive du malware DNSChanger (explication de l’évènement et des conséquences ici), et l’arrêt programmé des serveurs DNS compromis implique la vérification de certains paramètres réseau pour les internautes. 
Voici le détail des manipulations à réaliser afin de s’assurer que votre ordinateur n’est pas infecté :

Étape 1 : Vérification des configurations Internet 
La première manipulation consiste à vérifier que les configurations réseau de l’ordinateur sont correctes. Pour les francophones, cette étape peut se réaliser sur cette page Internet: http://dns-ok.be. Cette page mise en place par la Federal Cyber Agency Team Belge analyse la configuration réseau de l’ordinateur visiteur. Pour les germanophones, ou les anglophones, cette page est aussi disponible : http://dns-ok.deMAJ 16/02 2012 : mise en place par le CERT Lexsi Français, la page de test http://dns-ok.fr est maintenant disponible. Cette analyse est capable de détecter si l’ordinateur utilise l’un des serveurs DNS faisant partie de la liste noire des serveurs compromis. Si le cadre est vert, les configurations réseau sont bonnes. La vérification s’arrête ici et l’utilisateur peut retourner à sa navigation sans problème. Attention toutefois, car le fait que le test soit vert signifie seulement que les paramètres DNS sont corrects. Ceci ne signifie pas nécessairement que l’ordinateur est exempt de logiciels malveillants.  

Si le cadre est rouge, cela signifie que l’ordinateur a été infecté par DNS Changer et utilise des serveurs qui seront coupés le 8 mars. Dans ce cas plusieurs vérifications et modifications doivent être entreprises sur le système ou dans le routeur ADSL. Attention, ce test de configuration en ligne ne peut être effectué que sur une configuration Internet classique. Dans le cadre d’une utilisation d’un serveur proxy le test est inopérant (dans ce cas se reporter à l’étape 2). 

Étape 2 : Analyse antivirale et nettoyage
Dans le cas où le test en ligne remonte une alerte sur un changement de DNS, cela signifie que l’ordinateur est ou a été infecté. Avant toute manipulation il convient donc de procéder au nettoyage de l’ordinateur à l’aide d’un antivirus. 

Étape 3 : Vérification des paramètres DHCP
Sur la majorité des configurations des utilisateurs particuliers, l’adresse de l’ordinateur (IP Hôte), l’adresse de la passerelle (IP de la Box ou du routeur Internet) et les adresses DNS (IP des serveurs qui transforment les noms de domaine, www.gdata.fr par exemple, en IP du serveur web correspondant : 212.23.136.50 dans ce cas), sont configurées automatiquement au démarrage de l’ordinateur par le serveur DHCP. Ce dernier est généralement la box ADSL, le routeur Internet ou un ordinateur si la connexion Internet est partagée à partir de celui-ci. Dans le cas d’une infection, les serveurs DNS ne sont plus attribués automatiquement.
Pour vérifier les configurations DHCP sous Windows XP : Cliquer sur Démarrer > Panneau de configuration > Connexions réseau et choisir la connexion active utilisée pour accéder à Internet. Cliquer droit sur la connexion et choisir "Propriétés". Sous Windows Vista et Windows 7, cliquer sur Démarrer > Panneau de configuration > Centre Réseau et partage. Cliquer alors sur la connexion Internet active. Dans la fenêtre qui s’ouvre cliquer sur Propriétés. 
Dans la fenêtre "Propriétés", choisir le Protocole Internet (TCP / IP) sous Windows XP et Protocole Internet Version 4 (TCP/IPv4) sous Windows Vista et Windows 7. Dans tous les cas, les options "Obtenir une adresse IP une adresse IP automatiquement »et« Obtenir les adresses des serveurs DNS automatiquement "doivent être activée. Si une adresse inconnue au niveau  du serveur DNS est affichée, supprimer l'adresse, il faut activer la fonction "Obtenir les adresses des serveurs DNS automatiquement".
Ces manipulations effectuées, il faut réinitialiser la connexion réseau (en débranchant/rebranchant la connexion Wi-Fi ou filaire) et redémarrer le navigateur Internet.  
Ceci fait, une nouvelle vérification sur le site Internet http://dns-ok.de ou http://dns-ok.be
Si l’alerte est encore présente, la vérification doit se poursuivre sur d’autres éléments

Étape 4 : Vérification des paramètres du navigateur Internet 
Microsoft Internet Explorer (version 9)
Cliquer sur Outils > Options Internet. Choisir « Connexions ». Cliquer sur « Paramètres réseau » et décocher toutes les cases cochées.
Mozilla Firefox (version 9)
Cliquer sur  Options et choisir l'onglet "Avancé". Ensuite, choisir l’onglet "Réseau" et "Paramètres". En standard, aucune configuration manuelle du proxy ne doit être configurée. Cocher "Pas de proxy".
Google Chrome (version 16)
Ouvrir le menu « Options » puis « Options avancées ». Dans «Réseau», cliquer sur "Modifier les paramètres de proxy". Google Chrome utilise les paramètres proxy de Windows. Dans la fenêtre qui s’affiche cliquer sur Paramètres réseau et vérifier qu’aucun serveur proxy n’est configuré. Cocher « Détecter automatiquement les paramètres de connexion ». 
Ceci fait, le redémarrage du navigateur est nécessaire et une nouvelle visite sur le site http://dns-ok.de, http://dns-ok.be ou http://dns-ok.fr est nécessaire.
Si l’alerte est encore présente, le routeur ou la box a été compromise.

Étape 5 : Vérification des paramètres réseau du routeur Internet
Si malgré toutes les modifications, les DNS ne sont toujours pas corrects, il faut accéder au routeur et en vérifier la configuration. Ceci se réalise via l’interface web. Se référer au manuel d’utilisation ou contacter son fournisseur d’accès Internet.

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr