Durante estos años (2007/2012), el troyano ha seguido evolucionado y modificándose para evitar su detección y posterior eliminación, incluso utilizando técnicas de rootkit y entre sus nombres “alias” se encuentra llamado como: TDSS, Wareout, Alureon, TidServ, TDL4, DnsChanger.
El DNS es un protocolo utilizado en internet para asignar direcciones IP (Ejemplo: 207.46.130.108) a un nombre descriptivo (Ejemplo: www.microsoft.com). Un servidor DNS resuelve (en un modo de explicación simple) que para cada IP, le corresponde un “nombre”, que es la dirección con la que solemos manejarnos para entrar a un sitio.
¿Qué es el DNSChanger? Es un pequeño archivo de 1,5 kilobytes de tamaño que en realidad es un peligroso troyano que modifica, en el equipo afectado, la configuración de DNS
con el fin de redirigir al usuario a páginas maliciosas o sitios
ilegales, controladas por un atacante sin su conocimiento ni
consentimiento. Este troyano está diseñado para cambiar el “NameServer” valor clave de registro a una dirección IP personalizada. Esta dirección IP se suele cifrar en el cuerpo de un troyano..
¿Cuándo apareció DNSChanger? Fue descubierto por primera vez en 2007 y desde ese momento ha infectado al menos a cuatro millones de equipos informáticos en cien países distintos.
Sólo en Estados Unidos se cifra en 14 millones de dólares la cantidad
económica robada. Según el FBI la organización detrás de DNSChanger
logró conseguir la red de cibercrimen más grande hasta ahora conocida.
Fue desmantelada en noviembre de 2011..
¿Quiénes son los infectados? El troyano afecta a sistemas Windows, Mac OS o Linux ya que aprovecha el navegador web no una vulnerabilidad del sistema operativo. Además de ordenadores, algunos routers también se ven infectados. Algunas direcciones IP hostiles utilizadas por DNSChanger son:64.28.176.1 – 64.28.191.254
67.210.0.1 – 67.210.15.254
77.67.83.1 – 77.67.83.254
85.255.112.1 – 85.255.127.254
93.188.160.1 – 93.188.167.254
213.109.64.1 – 213.109.79.254
.
¿Por qué no es fácil de eliminar este troyano?
Una de las consecuencias de la desactivación de los servidores
maliciosos por el FBI, es que los equipos afectados perderán su
capacidad de navegación en Internet y otros servicios como el correo
electrónico, al eliminarse estas DNS ilegítimas, pero básicas para su funcionamiento..
¿Por qué el 8 de marzo de 2012?
Después del desmantelamiento del botnet en noviembre, el FBI obtuvo una
orden judicial para controlar los servidores ilegítimos y mantener
temporalmente la red. La orden judicial termina el 8 de marzo
y al menos que se prorrogue dicha orden, la red será apagada y las
computadoras con esas DNS no serán capaces de acceder a Internet..
¿Cómo comprobar si estamos infectados?
Cualquier software de seguridad instalado en tu equipo es capaz de
detectar la infección. Otra forma más rápida de comprobación es mediante
esta herramienta llamada: “DNSChanger-Check”
proporcionada por el Centro de alerta anti-botnet alemán en
colaboración con el Instituto español de tecnologías de la Comunicación
(INTECO)..
¿Qué hago si estoy infectado? Puedes desinfectar tu equipo mediante estas instrucciones
proporcionadas por la Oficina de Seguridad del Internauta y mediante
soluciones gratuitas. Recuerda que aunque elimines el virus debes
restaurar una configuración de DNS legítima, tanto en la configuración
de red del sistema operativo de tu ordenador como en la del router.
No hay comentarios:
Publicar un comentario