圖1：域名系統(DNS)的工作原理

用戶：那么DNSChanger是如何進行攻擊的呢?

賽門鐵克安全響應中心：通過改變一臺電腦的DNS設置，惡意軟件的作者們能夠控制某臺電腦與互聯網上的哪些網站相聯接，能夠迫使某臺受影響的電腦去 聯接一個“欺詐網站”，或者把該電腦從一個本想去訪問的網站引開。為了做到這一點，惡意軟件作者需要用惡意代碼去感染電腦，在該案例中，這種惡意代碼就是 DNSChanger。一旦某臺電腦了感染這種惡意代碼，惡意軟件便會將DNS設置從ISP的合法DNS服務器地址修改成“流氓DNS服務器地址”。

圖2： DNSChanger的工作原理

用戶：賽門鐵克能保護我們不受這一威脅的影響么?

賽門鐵克安全響應中心：是的，賽門鐵克檢測出這一威脅為Trojan.Flush.K，它最初名叫Trojan.Dnschanger。而且，我們的追蹤監測從2007年1月開始就進行了。

用戶：這也許是個愚蠢的問題，但我想知道為什么這些攻擊者想將我引導到惡意服務器上?

賽門鐵克安全響應中心：實際上這是一個很好的問題，但其答案卻很簡單：利益驅使。Kevin Haley寫了一篇關于網絡攻擊者的動機以及他們是怎樣進行這種犯罪的博文，http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted。

用戶：這一惡意軟件和這種網絡犯罪有多長時間了?事實上，Kevin Haley說，那些惡意攻擊者在去年年底就被FBI抓住了!

賽門鐵克安全響應中心：是的，沒錯。實際上FBI有一篇關于Operation Ghost Click的好文章，是關于如何抓獲這一犯罪團伙的調查工作的，值得一讀。

用戶：那么為什么現在他們還這么猖獗?

賽門鐵克安全響應中心：我很高興您問這個問題。FBI曾通過法庭命令要求“互聯網系統聯盟”(ISC)部署和維持安全的DNS服務器，來代替由惡意 攻擊者運行的“流氓DNS服務器”，以便給使用被感染電腦的用戶留出足夠的時間來清除該威脅。然而，這只是一個臨時性解決方案，由ISC依照法庭命令運行 的服務器將在2012年7月9日被關閉。一旦這種情況發生，仍然被感染的電腦將失去互聯網連接，可能引起大面積的“斷網”。

用戶：那么，被這種威脅所感染的電腦是不能訪問某些網站，還是所有網站呢?

賽門鐵克安全響應中心：不，是不能訪問所有網站。將失去互聯網連接。如果您的電腦在7月9日仍然在使用指向FBI服務器的DNS條目，那么您將徹底不能訪問互聯網：不能從家里連接辦公室，不能更新Facebook內容，在DNS設置修復之前什么都不能做。

用戶：我怎樣才能弄清我的電腦是否被DNSChanger感染?

賽門鐵克安全響應中心：一個名叫“DNSChanger 工作組(DCWG)”的特別行動小組已經成立，來幫助人們確定他們的電腦是否已被這一威脅感染，同時也幫助他們清除該威脅。用戶可訪問由DCWG維護的 DNS Changer Check-Up頁面，以確定其電腦是否被感染。也有由DCWG的Detect 頁面上所列的其他機構所維護的采用各種不同語言的其他頁面。各種不同機構也在主動告知用戶他們的電腦是否被DNSChanger感染。

除了檢測惡意代碼外，被DNSChanger感染的賽門鐵克和諾頓客戶，還可以通過我們配有的一個被稱為SecurityRisk.FlushDNS的檢測系統的終端產品進行檢測。

用戶：為什么賽門鐵克的產品不能自動為用戶修復DNS設置?

賽門鐵克安全響應中心：賽門鐵克的產品不能恢復某臺被感染電腦上的DNS設置，是因為我們無法知道其原始設置是什么。

用戶：賽門鐵克還有什么措施可以避免我們受到類似威脅呢?

賽門鐵克安全響應中心：我們有自己的DNS服務器，通過相應的配置他們可以阻攔不安全的網站。這種產品被稱為Norton ConnectSafe，相當不錯，而且完全免費。