La presse nous parle du virus DNSChanger qui emêpche d’aller sur interent apres le 7 mars 2012 (Prolongation jusque au 9 juillet). Relax, ça ne concerne que peu de monde. Voici une petite explication et des solutions au cas où. Si vous avez un antivirus correcte, vous ne devez pas être dans le cas. l’antivirus à normalement déjà bloqué le virus.
En résumé rapide, un virus qui date des années précédentes nommé DNSChanger, change un paramètre de configuration de votre carte réseau. Il remplace l’adresse du ‘serveur de résolution de nom’ ( DNS) de votre fournisseur habituel par le siens. En gros un DNS c’est le bottin d’internet, qui converti un nom comme www.tilto.be en son adresse internet IP ‘ 213.186.33.2’. Donc avec ce faux Bottin Dns, pour un nom donné votre ordinateur obtient le mauvais numéro. On se retrouve sur un faux site qui ressemble au vrai, mais qui mémorise vos mot de passe valable sur le vrai … pas bien !
Les créateurs de ce virus ont étés arrêté et le faux serveur DNS a été adapté par le FBI pour temporairement retourner de bonnes adresse (à quelques exceptions prés). le 7 mars 2012 ils coupent cette machine temporaire, ce qui nous laisse le temps de vérifier que nos pc ne sont pas infecté. Une fois la machine DNS désactivée, les gens qui sont infectés n’auront plus de réponce du ‘botin’ Dns, donc ne trouverons plus leurs sites internet !
En belgique un organise officiel la CERT.be ( Computer Emergency Response Team national belge ), a mis en place un site internet qui détecte si vous utiliser le faux DNS ou un bon. Voici leur l’explication.
Visiter donc www.dns-ok.be (ce site là et pas un autre) . Si c’est vert, Ok, tout va bien passez à autrechose. Si c’est rouge vous avez des actions à prendre !
Au cas ou c’est rouge ! Supprimer le virus DNSChanger. (info CERT )
—
Vous trouverez ci-dessous une série de programmes qui peuvent vous aider à supprimer le virus “DNSChanger” de votre ordinateur. Attention, étant donné qu’il existe différentes versions du virus “DNSChanger”, certains des programmes ci-dessous pourraient ne pas supprimer certaines versions. Dans ce cas, nous vous conseillons de:
1) Installer un des programmes ci-dessous.
2) Suivre les étapes demandées par le programme. Certains programmes requièrent un scan complet de votre ordinateur. Nous vous conseillons dans ce cas de faire un scan complet (et non un scan rapide)
3) Redémarrez votre ordinateur
4) Surfez à nouveau sur www.dns-ok.be et vérifiez si le virus “DNSChanger” est encore présent.
5) Si le virus “DNSChanger” est encore présent, choisissez un autre programme de la liste ci-dessous et recommencez à nouveau à partir de l’étape 1.
Sur Microsoft Windows
Télécharger ici Hitman Pro 3.6:
Télécharger ici Microsoft Safety Scanner:
Télécharger ici Avira DNS Repair
Télécharger ici FixTDSS de Symantec
Télécharger ici TDFFKiller
Sur Mac OS X
Télécharger ici le MacScan DNSChanger Removal Tool
Si aucun de ces programmes ne parvient à supprimer le virus “DNSChanger” de votre ordinateur, l’unique solution est de réinstaller complètement votre ordinateur. Si vous ne pouvez pas le faire, prenez contact avec votre revendeur. N’oubliez pas d’effectuer, au préalable, un back-up, une copie de réserve de vos données.
Si, après le 7 mars 2012, vous ne pouvez plus accéder à internet depuis votre ordinateur, contactez votre fournisseur internet.
—
Les bons serveurs DNS des opérateurs internet Belges
Si vous utilisez un modem routeur, configurer votre pc en automatique ou indiquer l’adresse locale de votre routeur.
Voici une liste de dns de quelques fournisseurs.
Dns Belgacom Skynet : 195.238.2.21 et 195.238.2.22
Dns Voo : 217.117.33.134 et 217.117.32.3
Dns Mobistar : 212.065.063.010 et 212.065.063.145
Dns: Edpnet : 212.71.8.10 et 212.71.0.33
Dns Telenet : 195.130.130.113 et 195.130.131.5
et d’autres ne dependant pas de votre fournisseur:
Google Public DNS : 8.8.8.8 et 8.8.4.4
OpenDNS: 208.67.222.222 et 208.67.220.220
Il faut quand même bien admettre que cette campagne est drôlement percutante, presque plus que les risques réels comparativement à d’autres situations. J’en ai presque cru à un désinformation risquée (comme pour le “retour de Megaupload”) et j’ai donc été vérifier qui était derrière le nom de domaine dns-ok.be… ok, Belnet, c’est assez rassurant !
jz me suis aussi pausé la question du fake… c’est après avoir vu un flic en parlé à la rtbf que je me suis mieux documenté… ce coup ci ils ont bien fait leur truc !
moi j y ai pas du tout cru.De plus des virus qui font ce genre de chose on en a tous les jours!
Un gros pavé dans la marre encore une fois…
Le CERT, assisté du FBI, voudrait récolter des infos sur nos ordis, ne s’y prendrait pas autrement.
Big Brother is watching you…
Elio Di R is entubing you.
@TuLaCruTesBienEu je me suis posée la question, mais ds ce cas ci, je ne pence pas. Si ils avaient voulu faire ça ils auraient laissé le serveur dns des pirates en marche pour leur compte, ici ils vont le fermer 🙂
Ils ont d’autres moyen nettement plus facile et efficases si ils le désirent à leur ‘Echelon’ 🙂
La justice américaine a octroyé, mardi 6 mars, un délai de quatre mois supplémentaire au FBI avant l’extinction définitive de ces serveurs, qui sont à l’origine de la propagation du cheval de Troie DNSChanger. Celle-ci devrait désormais avoir lieu le 9 juillet prochain. Des solutions en ligne existent déjà pour savoir si son poste est infecté, et comment le reconfigurer pour éviter le blackout.
Quand saurons nous pourquoi les machines tournant sous LINUX ne semblent pas concernées par le probleme…
Toujours les mêmes imprécisions dans ces articles. Normal, ce ne sont que des copier-coller de dépêches provenant des agences de presse comme Belga.
1) Ce n’est pas un virus mais un cheval de Troie bien connu (DNS-changer trojan) qui est responsable de la modification des paramètres TCP/IP de votre ordi). A décharge, le site du CERT utilise erronément le terme de virus aussi… (une différence essentielle entre les 2 étant que le trojan ne se réplique pas).
2) le site dns-ok.be NE SCANNE RIEN DU TOUT ! Il se contente d’afficher une page et c’est tout. En effet si vous n’êtes pas infecté vous arrivez sur l’adresse 193.190.198.221, sinon sur 193.190.198.222. Tapez alternativement dans votre navigateur http://193.190.198.222 puis http://193.190.198.221 et vous verrez les 2 pages, une qui vous dit OK et l’autre qui vous affiche PAS OK. CQFD
@JournalistesA2balles, relax ce simple blog est amateur et à pour but de vulgariser. Le début de mon article n’est pas un copier coller, mais un explication du principe de dns. Je ne dit pas que le site de vérification scan mais ‘ un site internet qui détecte si vous utiliser le faux DNS ou un bon. ‘, et merci j’ai bien compris le mécanisme ce qui m’as permis de prendre une copie d’écran dans chaque circonstance.
La fin de cet article est bien une copie de ce préconise le cert, il est clairement ecrit (info CERT ).
Je me demande si votre commentaire lui n’a pas été copier / coller sur plusieurs sites traitant du sujet.
Je vous acorde que certains sont très approximatifs et parano, d’ou mon envie de rédiger un texte simple et correcte.
Voila on se calme, on vérifier et on passe à autre-chose de plus intéressent.
Après avoir utilisé mon adresse et mes contacts personnels pour envoyer des messages alarmants à mon sujet et demander en mon nom, de l’aide financière, un hacker vient de supprimer définitivement mon adresse e-mail après s’être ri de moi pendant 6 semaines en modifiant mes mots de passe tous les jours. Au bout d’un certain temps j’avais constaté qu’une adresse (poeydemengelaurent@yahoo.fr) s’était inscrite dans mes questions de sécurité de telle façon qu’il m’était devenu impossible d’agir sur mon propre compte sans qu’il n’en soit automatiquement et irréversiblement informé; un peu comme un parent peut contrôler ses enfants sur ordinateur. Je lui ai écrit sur ma propre adresse puisqu’il était évident qu’il la squattait, et il m’a répondu de sa propre adresse (ci-dessus), en demandant pardon, n’empêche qu’il m’a volé 13 ans de vie privée, de correspondance, de souvenirs et de dossiers suivis.
Quel intérêt peut-on avoir à faire cela vis-à-vis d’un vieux particulier qui n’a que ce fragiles “trésors” pour agrémenter ses dernières années ? Josephine 0341 est une des nombreuses adresses créées suite à cet acte criminel.
JE VOIS LA DATE DU 17.02.12 à 12H27
Or nous sommes le 6.7.12 et il est 21H25
l’article date de ce moment la 🙂 comme quoi le problème n’est pas nouveau
mon problèle est:vert et rouge sont affichés simultanément:que faire?,merci de me répondre
soit tu as un X dans un cadre rouge, soir un V dans un cadre vert, pas les deux