Phần mềm độc hại thay đổi DNS: cách phát hiện và bảo vệ chính bạn

Hệ thống tên miền (DNS) là một phần của cơ sở hạ tầng internet, giải quyết các tên miền dễ nhớ mà con người sử dụng thành các địa chỉ IP khó hiểu hơn mà các máy tính kết nối internet sử dụng. Nếu không có DNS, chúng tôi sẽ phải nhớ địa chỉ IP của mọi trang web mới mà chúng tôi muốn truy cập.

Về vấn đề đó, DNS dường như chủ yếu liên quan đến sự thuận tiện. Trong thực tế, DNS cũng là một phần quan trọng của bảo mật internet. Máy tính của bạn tin tưởng DNS để cung cấp cho nó địa chỉ IP chính xác cho bất kỳ trang web cụ thể nào. Đáng buồn thay, có rất ít biện pháp phòng ngừa để phát hiện phản hồi DNS không chính xác, điều này để lại một lỗ hổng bảo mật cho kẻ xấu khai thác.

Tìm hiểu sâu hơn về cách thức hoạt động của DNS

DNS được phân cấp. Thay vì bao gồm một cơ sở dữ liệu lớn với thông tin về mọi miền, thông tin đó nằm rải rác trên internet trên nhiều máy chủ khác nhau. Mỗi tên miền có ít nhất một máy chủ tên có thẩm quyền.

Bối cảnh: Máy chủ tên có thẩm quyền là máy chủ DNS chứa tất cả các bản ghi DNS cho bất kỳ tên miền cụ thể nào.

Ví dụ: trong trường hợp của so sánh.com, chúng ta có thể thấy các máy chủ tên có thẩm quyền là máy chủ DNS của Amazon.

$ đào + so sánh ngắn.com ns
ns-769.awsdns-32.net.
ns-1652.awsdns-14.co.uk.
ns-1459.awsdns-54.org.
ns-237.awsdns-29.com.

Do đó, nếu tôi truy vấn một trong những máy chủ tên đó để lấy địa chỉ IP cho trang web soitech.com, nó sẽ trả về địa chỉ IP của máy chủ web mà trang web được lưu trữ trên đó.

$ đào + so sánh ngắn.com @ ns-769.awsdns-32.net.
108,59.8,18

Trong ví dụ đó, tôi đã truy vấn trực tiếp một trong các máy chủ tên so sánh, nhưng đó không hoàn toàn là cách hệ thống DNS hoạt động hàng ngày. Hệ thống DNS hoàn chỉnh không chỉ liên quan đến máy chủ DNS mà còn cả máy khách DNS. Máy khách DNS được gọi là bộ phân giải DNS.

Bối cảnh: Trình phân giải DNS được đặt tên theo cách đó vì công việc của nó là lấy một tên miền và phân giải nó thành một địa chỉ IP mà máy tính của bạn có thể sử dụng để bắt đầu liên lạc với máy chủ internet.

Trình phân giải DNS nằm trên hầu hết mọi máy tính và thường ở các cấp cao hơn như nhà cung cấp dịch vụ internet của bạn. Khi một chương trình trên máy tính của bạn muốn biết địa chỉ IP của một tên miền, nó sẽ yêu cầu trình phân giải DNS giải quyết mối quan hệ giữa tên miền đó với IP. Làm thế nào trình giải quyết làm điều đó không được biết bởi chương trình yêu cầu; thật vui khi nhận lại địa chỉ IP bất kể nó được lấy như thế nào.

Hầu như tất cả các trình phân giải DNS truy vấn bộ đệm để giảm tải trên các máy chủ DNS khác nhau. Trình phân giải DNS trên máy tính của bạn được gọi là trình phân giải cục bộ và khi truy vấn địa chỉ IP, trước tiên, nó sẽ kiểm tra bộ đệm của nó để xem nó có biết câu trả lời đó không. Nếu không, nó sẽ tham chiếu trình phân giải DNS cấp tiếp theo, thường là bộ định tuyến của bạn. Bộ giải quyết đó thực hiện kiểm tra bộ đệm tương tự để xem đã biết câu trả lời chưa và nếu chưa, thì nó sẽ chuyển yêu cầu tới bộ phân giải cao hơn tiếp theo. Điều này tiếp tục cho đến khi gặp một trình phân giải có câu trả lời và cung cấp địa chỉ IP hoặc cho đến khi hệ thống phân cấp cạn kiệt và không có máy phân giải cũng như các máy chủ tên có thẩm quyền biết địa chỉ IP của tên miền. Điều sau thường chỉ xảy ra khi tên miền chưa được đăng ký và do đó không có máy chủ tên có thẩm quyền hoặc có một số trục trặc khác trong chuỗi trình phân giải DNS.

Phần quan trọng của quy trình này là một khi trình giải quyết cung cấp câu trả lời, tìm kiếm sẽ dừng lại. Không có bộ giải quyết nào khác sẽ được truy vấn ngay khi một bộ giải quyết thành công. Trong đó có khoảng trống trong đó phần mềm độc hại thay đổi DNS có thể nắm giữ. Thêm về điều đó sau.

Có một lớp cuối cùng cho độ phân giải DNS không phải là một phần của mô hình DNS nhưng dù sao cũng có sức mạnh lớn. Mỗi máy tính có một tệp có tên máy chủ ở đâu đó trên hệ thống của nó. Trong các hệ thống Unix và macOS / OSX, nó thường được tìm thấy tại / etc / hosts / và đối với các hệ thống Windows, nó thường được tìm thấy trong C: \ System32 \ driver \ etc \ hosts. Nếu bạn đang chạy một hệ điều hành kỳ lạ hơn, vị trí của tệp máy chủ của nó có thể nằm trong danh sách này.

Trong hầu hết các trường hợp, tệp máy chủ bỏ qua bất kỳ hoạt động phân giải DNS nào. Có nghĩa là, nếu tôi đặt dòng sau vào tệp máy chủ của mình, tôi sẽ không bao giờ có thể tải thành công trang web so sánh.com. Điều này là do câu trả lời không chính xác trong tệp máy chủ của tôi sẽ được trình duyệt web của tôi chấp nhận và bởi vì không có trình phân giải nào khác được truy vấn một khi câu trả lời được trả về, sẽ không thực hiện thêm kiểm tra nào nữa.

123,45,67,89 soitech.com www.comparitech.com

Tệp lưu trữ trước ngày DNS và ban đầu được sử dụng để phân giải tên ARPANET, nhưng nó vẫn tồn tại trong các hệ thống ngày nay. Nó chính được sử dụng bởi những người kỹ thuật như nhà phát triển và quản trị viên hệ thống khi có nhu cầu tạm thời xem tên miền trên một địa chỉ IP khác với tên miền được lưu trữ trong DNS công cộng.

Tệp máy chủ cũng có thể được sửa đổi để chặn địa chỉ IP của các trang web độc hại. Bạn có thể tìm hiểu cách sửa đổi tệp máy chủ của mình để chặn quảng cáo và phần mềm độc hại tại đây.

Cuối cùng, có nhiều loại bản ghi DNS khác nhau. Ví dụ: máy chủ thư được chỉ định bởi các bản ghi MX, địa chỉ IPv6 được chứa trong các bản ghi AAAA và bí danh tên miền được gọi là bản ghi CNAME. Với mục đích của bài viết này, chúng tôi sẽ chỉ tập trung vào bản ghi IPv4, chứa địa chỉ IPv4 của tên miền và được sử dụng chủ yếu làm địa chỉ IP của trang web.

Bản ghi DNS đến từ đâu?

Chủ sở hữu tên miền chịu trách nhiệm tạo các bản ghi DNS cần thiết để tên miền của họ hoạt động. Những hồ sơ này cần được tạo ở bất cứ nơi nào máy chủ tên có thẩm quyền dành cho tên miền đó. Khi một tên miền được mua lần đầu tiên từ nhà đăng ký tên miền, những hồ sơ đó thường trỏ đến một số loại trang đỗ xe tại nhà đăng ký. Khi một trang web hoặc dịch vụ khác được tạo cho miền, thông thường các bản ghi DNS được thay đổi để trỏ đến trang web và máy chủ thư mới.

Bối cảnh: Nhà đăng ký tên miền là nơi mua tên miền hoặc đã được chuyển đến sau khi mua. Công cụ đăng ký thuật ngữ cổ được sử dụng vì một chức năng quan trọng của người bán tên miền là đăng ký tên miền đó trong hệ thống DNS để có thể giải quyết các bản ghi DNS của nó.

Phần mềm độc hại thay đổi DNS hoạt động như thế nào?

Mục tiêu của phần mềm độc hại thay đổi DNS là làm cho máy tính của bạn truy cập các dịch vụ khác với dự định của bạn và làm cho nó hoàn toàn vô hình với bạn. Ví dụ, một hacker tạo một bản sao của trang web Bank of America trên một số máy chủ khác chỉ là một nửa trận chiến. Bước tiếp theo là bằng cách nào đó khiến mọi người truy cập trang web đó và vô tình nhập thông tin đăng nhập của họ để có thể gửi cho kẻ xấu.

Đây là một hình thức lừa đảo. Một cách phổ biến để cố gắng lừa mọi người truy cập các trang web này là thông qua các chiến dịch email spam với các liên kết bị che giấu trong đó. Các liên kết trông giống như họ đi đến trang web Bank of America hợp pháp, nhưng thực tế thì không. Kiểu lừa đảo này khá dễ bị đánh bại với một số kỹ thuật điều tra cơ bản mà tôi đã viết về đây.

Một phương pháp khó hiểu và khó phát hiện hơn là thay đổi trình phân giải DNS cục bộ của bạn để cung cấp địa chỉ IP độc hại cho các truy vấn cho miền Bank of America. Điều này có nghĩa là bạn sẽ khởi chạy trình duyệt web của mình và truy cập trang web của Bank of America. Trình duyệt của bạn sẽ yêu cầu trình phân giải DNS cục bộ cho địa chỉ IP của trang BoA và trình phân giải DNS bị hỏng sẽ trả về địa chỉ IP của trang độc hại thay vì địa chỉ IP của trang BoA hợp pháp. Trang web độc hại sẽ tải trong trình duyệt của bạn và, không giống như các trang web lừa đảo thông thường cư trú trên các tên miền khác, trang web này thực sự sẽ hiển thị dưới dạng Ngân hàng Hoa Kỳ trong thanh địa chỉ trình duyệt của bạn, khiến cho việc phát hiện sai gần như không thể phát hiện ra.

Hãy nhớ lại rằng một khi trình phân giải DNS nhận được câu trả lời, nó chấp nhận câu trả lời đó và không thực hiện thêm truy vấn nào. Điều này có nghĩa là để cung cấp địa chỉ IP không chính xác cho truy vấn DNS, kẻ xấu chỉ cần chặn trình phân giải DNS đầu tiên sẽ xử lý các yêu cầu DNS của bạn. Trong hầu hết các trường hợp, đó là trình phân giải DNS cục bộ trên máy tính của riêng bạn hoặc bộ định tuyến của bạn. Vectơ tấn công là cài đặt phần mềm độc hại trên máy tính của bạn để kiểm soát DNS cục bộ hoặc bộ định tuyến của bạn.

Lịch sử phần mềm độc hại DNS Changer

Vòng đầu tiên của phần mềm độc hại thay đổi DNS xuất hiện vào năm 2013 và đã bị đánh bại một cách rõ ràng. Đó là một vấn đề phức tạp được thiết lập bởi một công ty ở Estonia có tên Rove Digital. Nó vận hành một loạt các máy chủ DNS độc hại đã tiêm quảng cáo vào các trang web. Rove sau đó đã triển khai phần mềm độc hại Windows và Mac OSX từ xa đã định cấu hình lại các trình phân giải cục bộ để sử dụng các máy chủ DNS độc hại đó. Quảng cáo trị giá hơn 14 triệu đô la đã được nhấp vào trước khi chúng bị đóng cửa.

Do tính chất của cuộc tấn công đó, các máy chủ DNS độc hại đã được phát hiện và lập danh mục. Do đó, nó khá dễ dàng để khắc phục; nó chỉ đơn giản là kiểm tra các cài đặt DNS trên máy tính của bạn và so sánh chúng với danh sách các máy chủ DNS Rove đã biết. Nếu có một trận đấu, bạn đã bị nhiễm bệnh. Một tập đoàn có tên Nhóm làm việc thay đổi DNS (DCWG) đã được thành lập để giúp người dùng chẩn đoán và khắc phục các bệnh nhiễm trùng của họ. Hầu hết các liên kết trên trang web đó đã chết.

Mặc dù không phải là phần mềm độc hại về mặt kỹ thuật, Trung Quốc đã được biết là đầu độc DNS của chính họ như một công cụ kiểm duyệt. Các máy chủ DNS mà công dân Trung Quốc sử dụng được định cấu hình để trả về các địa chỉ IP không chính xác cho các trang web mà Bộ quản lý không gian mạng của Trung Quốc muốn hiển thị không khả dụng trong nước. 

Xem thêm: Cách truy cập các trang web bị chặn ở Trung Quốc bằng VPN.

Trước đây, các máy chủ DNS này sẽ trả về các IP null không lưu trữ bất kỳ nội dung nào để trình duyệt của khách truy cập sẽ hết thời gian. Trong một thay đổi gần đây, DNS của Trung Quốc dường như phản hồi với các địa chỉ IP của các trang web hợp pháp mà nó không chấp thuận ở những nơi khác trên thế giới dẫn đến một số trang web bị hỏng do lượng lưu lượng truy cập mà họ bất ngờ nhận được từ việc không mong muốn Du khách trung quốc.

Bối cảnh: Cụm từ độc hại DNS DNS có nghĩa là cố tình sửa đổi máy chủ DNS để trả lại địa chỉ IP không chính xác cho một tên miền hoặc bộ tên miền. Phần mềm độc hại thay đổi DNS về cơ bản sửa đổi mạng cục bộ của bạn sử dụng máy chủ DNS bị nhiễm độc.

Trạng thái hiện tại của phần mềm độc hại thay đổi DNS

Các lần lặp hiện tại của phần mềm độc hại DNS Changer tinh vi hơn nhiều và khó phát hiện hơn nhiều. Mặc dù tiêm quảng cáo để kiếm tiền vẫn là mục tiêu chính của phần mềm độc hại thay đổi DNS, nhưng nó lại ngấm ngầm hơn và cũng chuyển hướng mọi người đến các trang web độc hại để thực hiện các loại lừa đảo khác nhau. Một sự khác biệt lớn là bây giờ nó nhắm mục tiêu các bộ định tuyến thay vì các máy tính cá nhân. Nhắm mục tiêu bộ định tuyến là một vectơ tấn công hiệu quả hơn nhiều vì nó cho phép một bộ định tuyến duy nhất lây nhiễm DNS của tất cả các thiết bị sử dụng bộ định tuyến đó. Trong cài đặt nhà hoặc văn phòng thông thường, một bộ định tuyến cung cấp DNS cho một số lượng lớn thiết bị mà không cần cố gắng lây nhiễm cho từng thiết bị riêng lẻ Bộ giải quyết DNS cục bộ.

Cấu tạo của một cuộc tấn công phần mềm độc hại DNS Changer hiện đại

Phần mềm độc hại DNS Changer ngày nay được triển khai qua javascript trong một cuộc tấn công bằng ổ đĩa thông thường.

Bối cảnh: Tấn công bằng ổ đĩa là việc tải javascript vô tình vào trình duyệt của bạn từ một trang web bị nhiễm mà bạn đã truy cập. Thuật ngữ này là một từ ám chỉ đến cách nói bừa bãi trong đó các vụ xả súng lái xe tuyên bố nạn nhân tùy tiện.

Khi javascript được tải xuống, nó sẽ thực hiện cuộc gọi WebRTC để xác định địa chỉ IP của bạn. Nếu địa chỉ IP của bạn khớp với một bộ quy tắc được xác định trước, thì quảng cáo chứa dấu vân tay của bộ định tuyến ẩn và thông tin đăng nhập của quản trị viên bộ định tuyến mặc định sẽ được tải xuống máy tính của bạn. Thông tin đó sau đó được trích xuất để xác định loại bộ định tuyến bạn có. Sau đó, nó sẽ cố gắng đăng nhập vào bộ định tuyến của bạn với thông tin đăng nhập mặc định cho nhãn hiệu bộ định tuyến của bạn để thay đổi cài đặt DNS của bạn. Proofpoint đã khám phá ra quy trình này hoạt động như thế nào và có một mô tả từng bước về cách từng bước diễn ra ở đây.

Làm thế nào để phát hiện nếu bạn đã bị nhiễm

Nếu không có vectơ tấn công được xác định rõ ràng mà Rove Digital đã sử dụng, nó sẽ khó phát hiện hơn nếu bạn bị nhiễm. Tuy nhiên, có thể có một số manh mối chỉ ra vấn đề.

Lỗi SSL hoặc không có SSL nào cả

SSL (được gọi chính xác hơn là TLS ngày nay) là viết tắt của Lớp cổng bảo mật (TLS là viết tắt của Transport Layer Security và đã thay thế SSL). SSL có hai công việc chính:

  • mã hóa thông tin giữa trình duyệt của bạn và máy chủ web và
  • xác nhận danh tính của máy chủ web.

Điểm thứ hai được thực hiện khi chứng chỉ được mua. Nhà cung cấp chứng chỉ có nghĩa vụ đảm bảo rằng người yêu cầu chứng chỉ cho tên miền là chủ sở hữu thực sự của tên miền đó. Điều này ngăn không cho bất kỳ người nào có được chứng chỉ SSL của Bank of America. Có nhiều mức độ xác nhận khác nhau cần thiết trước khi chứng chỉ có thể được cấp:

  • Xác thực kiểm soát tên miền: Mức xác thực ít nhất chỉ yêu cầu nhà cung cấp chứng chỉ đảm bảo rằng người yêu cầu có quyền kiểm soát vật lý tên miền.
  • Xác nhận tổ chức: Không giống như xác thực tên miền chỉ liên quan đến việc chứng minh quyền kiểm soát tên miền, xác thực tổ chức tiếp tục tìm cách chứng minh rằng tổ chức yêu cầu chứng chỉ là một tổ chức hợp pháp, hợp lệ. Để xác nhận điều này, một số điều tra về tổ chức được thực hiện.
  • Xác nhận mở rộng: Đây là cấp độ xác nhận cao nhất và các tổ chức tìm kiếm chứng chỉ EV phải chứng minh doanh nghiệp của họ là hợp pháp và được cấp phép hợp pháp trong phạm vi quyền hạn của họ.

Mặc dù sai lầm xảy ra, về mặt lý thuyết là không thể có được chứng chỉ nếu bạn có thể chứng minh bạn sở hữu tên miền. Vì vậy, ngay cả khi kẻ xấu có thể làm hỏng DNS của bạn, bạn sẽ kết thúc tại một trang web hoàn toàn không có SSL hoặc SSL bị hỏng mà trình duyệt của bạn sẽ cảnh báo bạn. Nếu bạn nhận thấy một trang web đã từng sử dụng SSL không còn hoặc nếu bạn thấy các cảnh báo của trình duyệt về các sự cố SSL trên một trang web, bạn có thể không ở trên trang web nơi bạn nghĩ bạn đang ở. (Đọc thêm: Hướng dẫn hoàn chỉnh cho người mới bắt đầu về mã hóa SSL)

Tăng quảng cáo hoặc chuyển hướng đến các trang có chứa quảng cáo

Các nhà phát triển phần mềm độc hại kiếm tiền từ quảng cáo. Một vài xu cho mỗi lần nhấp vào quảng cáo lên đến rất nhiều khi bạn có thể khiến hàng triệu người nhấp vào chúng. Nếu bạn nhận thấy sự gia tăng của quảng cáo hoặc nếu bạn đang được chuyển hướng đến các trang có chứa quảng cáo, đó gần như chắc chắn là dấu hiệu của phần mềm độc hại và có thể là phần mềm độc hại thay đổi DNS.

Kiểm tra cài đặt DNS DNS bộ định tuyến của bạn

Hầu như mọi bộ định tuyến trên thị trường hiện nay đều có trang cài đặt nơi máy chủ DNS có thể được xác định. Trong hầu hết các trường hợp, máy chủ DNS được cung cấp bởi Nhà cung cấp dịch vụ Internet (ISP) của bạn và cài đặt DNS trong bộ định tuyến của bạn sẽ trống. Nhưng nó có thể ghi đè các máy chủ DNS ISP ISP của bạn bằng cách đặt các máy chủ DNS cụ thể trong bộ định tuyến của bạn, đó chính xác là những gì phần mềm độc hại DNS Changer tìm cách làm. Có hai bước để xác định xem bộ định tuyến của bạn có bị nhiễm hay không:

  1. Kiểm tra cài đặt DNS trong bộ định tuyến của bạn. Nếu họ không trống, thì:
  2. Xác định xem các máy chủ DNS được liệt kê có độc hại không.

Mỗi bộ định tuyến là khác nhau, do đó, không thể liệt kê các hướng dẫn về cách tìm cài đặt DNS cho mỗi bộ định tuyến. Bạn cần phải tìm kiếm cài đặt Máy chủ DNS. Trong một số trường hợp, nó nằm trong cài đặt WAN (Mạng diện rộng):

bộ định tuyến 1 cài đặt DNS

Trong các trường hợp khác, bạn có thể tìm thấy nó trong cài đặt Mạng cục bộ:

bộ định tuyến 2 cài đặt DNS

Bạn có thể cần tham khảo tài liệu về bộ định tuyến của mình để tìm vị trí thích hợp để xem cài đặt DNS của bộ định tuyến.

Sử dụng thử nghiệm hai bước ở trên trên ảnh chụp màn hình đầu tiên tôi có thể xác định rằng:

  1. Bộ định tuyến DNS cài đặt DNS của tôi là KHÔNG PHẢI trống nên tôi tiến hành bước 2.
  2. Tôi nhận ra 8.8.8.8 và 8.8.4.4 là máy chủ DNS Google Google, vì vậy tôi biết chúng không độc hại.

Nhưng nếu tôi không chắc chắn, tôi sẽ Google những IP đó để xem họ thuộc về ai:

tìm kiếm máy chủ DNS của Google

Nếu bạn tìm thấy các mục trong cài đặt DNS của bộ định tuyến và bạn không thể xác định chúng đến từ đâu, bạn nên xóa chúng.

Kiểm tra cài đặt DNS máy tính cục bộ của bạn

Mặc dù phiên bản phần mềm độc hại DNS Changer ngày nay chủ yếu tấn công các bộ định tuyến, nhưng nó có thể bị tổn thương khi xác minh cài đặt DNS máy tính cá nhân của bạn.

hệ điều hành Mac

táo -> Tùy chọn hệ thống -> Mạng -> bấm vào mạng của bạn

cài đặt DNS macOS

các cửa sổ

Bảng điều khiển -> Mạng và Internet -> Kết nối mạng -> nhấp chuột phải vào kết nối mạng của bạn và chọn Thuộc tính

Giao thức Internet Phiên bản 4 (TCP / IPv4)
Giao thức Internet Phiên bản 6 (TCP / IPv6)

Bấm vào thuộc tính:

Cài đặt DNS IP của Windows

Bấm Nâng cao nếu bạn muốn thêm nhiều máy chủ DNS.

Kiểm tra cài đặt hiện tại từ dòng lệnh:

Dòng lệnh cài đặt DNS IPconfig Windows

Làm thế nào để bảo vệ bạn khỏi bị nhiễm trùng hoặc tái nhiễm

Hãy nhớ lại rằng phần mềm độc hại DNS Changer hiện đại cố gắng xác định bộ định tuyến của bạn và sau đó sử dụng thông tin đăng nhập mặc định chống lại nó. Do đó, cách bảo vệ đầu tiên và tốt nhất chống lại điều này là chỉ cần thay đổi mật khẩu quản trị bộ định tuyến của bạn ngay khi bạn có thể. Hành động đơn giản đó sẽ giúp loại bỏ phần mềm độc hại đặc biệt này.

Nó cũng quan trọng cần lưu ý rằng cuộc tấn công sử dụng javascript và webRTC để thành công. Tôi đã viết về sự nguy hiểm của việc lướt web khi bật javascript và cũng như cách tắt các truy vấn webRTC. Có một nhóm thiểu số có giọng nói cảm thấy web bị hỏng hoàn toàn nếu việc lướt web của bạn bị vô hiệu hóa javascript, nhưng với tư cách là một người có kinh nghiệm nhiều năm làm điều đó tôi có thể đảm bảo với bạn rằng web vẫn ổn. Ngay cả khi không, câu ngạn ngữ cũ vẫn được áp dụng: tiện lợi hoặc bảo mật – chọn một. Ở đó, cũng không có lý do nào để cho phép truy vấn webRTC đối với hầu hết chúng ta. Nếu bạn tò mò về việc bạn có cho phép truy vấn webRTC hay không, bạn có thể sử dụng DNS Leak Test này và cài đặt plugin cho Chrome hoặc Firefox để vô hiệu hóa nó.

Nếu bạn đã bị nhiễm và đã tìm thấy các máy chủ DNS độc hại trong bộ định tuyến hoặc trong cài đặt DNS cục bộ của bạn, thì có khả năng bạn có phần mềm độc hại trên hệ thống của bạn. Chúng tôi duy trì một danh sách các giải pháp chống vi-rút tốt nhất và bạn nên chạy một trong số chúng để quét hệ thống của bạn để tìm loại phần mềm độc hại này.

Nó rất quan trọng để làm mọi thứ theo đúng thứ tự. Nếu bạn đã tìm thấy các mục DNS độc hại trong bộ định tuyến hoặc máy tính cục bộ của mình, đã xóa chúng và sau đó cài đặt phần mềm chống vi-rút, bạn sẽ muốn truy cập lại cài đặt DNS của mình sau khi quá trình quét phần mềm độc hại hoàn tất. Lý do cho điều này là phần mềm độc hại đã thay đổi cài đặt DNS của bạn có khả năng vẫn tồn tại trên hệ thống của bạn cho đến khi quá trình quét phần mềm độc hại hoàn tất. Những mục DNS xấu trong bộ định tuyến mà bạn đã xóa có thể đã bị thay thế ngay lập tức bởi phần mềm độc hại còn tồn tại. Chỉ sau khi bạn đã chạy quét phần mềm chống vi-rút và loại bỏ phần mềm độc hại đó, bạn mới có thể tự tin hơn rằng các cài đặt DNS của bạn sẽ giữ nguyên như bạn dự định.