El FBI investiga el malware DNS Changer

La implicación de las fuerzas de seguridad en la investigación de ciertos tipos de malware (especialmente aquellos que afectan a una gran cantidad de sistemas) no es algo nuevo. Han sido ya muchas las operaciones realizadas para desmantelar redes de ordenadores zombis, organizaciones de ciberdelincuentes o, como en este caso, ejemplares de malware específicos.

DNS Changer no es para nada un malware novedoso, ya que lleva años infectando sistemas y siendo detectado por las soluciones antivirus, como ESET NOD32. El principal objetivo de este malware es cambiar los servidores DNS que tenemos configurados en nuestro sistema para así redirigirnos a sitios web fraudulentos o que albergan malware. Es importante destacar que se han visto variantes de este código malicioso para varios sistemas operativos, incluyendo Windows, Mac OS y GNU/Linux.

Su funcionamiento, tal y como explican nuestros compañeros de ESET Latinoamérica, es el siguiente: una vez infectado el sistema, se cambian las direcciones IP de los servidores DNS que tuviésemos configurados. Así, cuando se intenta acceder a alguna web en concreto (una entidad bancaria, por ejemplo), la resolución de nombres se realiza usando uno de los servidores DNS maliciosos (o rogue DNS server). Se consigue de esta forma engañar a los usuarios para que accedan a enlaces peligrosos desde donde pueden infectarse o proporcionar datos privados a los ciberdelincuentes.

Este tipo de malware no solo afecta a nuestro sistema, puesto que si se está en un entorno doméstico o de oficina, el malware intenta acceder al dispositivo que ofrece servicio DHCP, ya sea un router o un punto de acceso, y mediante fuerza bruta realiza una comprobación de contraseñas por defecto para intentar acceder a dicho dispositivo. En caso de que el acceso tenga éxito, se procede a modificar las direcciones de los servidores DNS para que este dispositivo utilice los servidores maliciosos. Otra funcionalidad de este tipo de malware que hay que destacar, es el hecho de que intenta desactivar el software antivirus, si es que se cuenta con uno, y además procura impedir las actualizaciones del sistema operativo.

Sabedores de que aún quedan muchos sistemas infectados (solo en Estados unidos se calcula que la cifra podría llegar a 500.000), el FBI empezó una investigación que logró identificar hasta seis servidores DNS maliciosos. Desde entonces ha estado informando a los usuarios sobre esta amenaza y señalando el 8 de marzo de 2012 como fecha en la que desactivarán todos los servidores DNS maliciosos, impidiendo a partir de esa fecha que los usuarios que sigan infectados puedan navegar por Internet.

Para poder utilizar dicha herramienta primero debemos averiguar qué servidor DNS tenemos configurado en nuestro sistema. Podemos revisarlo realizando los siguientes pasos:

• Acceder a una consola de línea de comandos yendo a Inicio –> Ejecutar, luego escribir “cmd” y presionar “enter”. En el caso de Windows Vista y 7, ir al menú Inicio y directamente escribir “cmd”.
• Una vez en la consola, escribir el comando “ipconfig /all” y pulsar “enter”.
• Buscar la sección donde dice DNS Servers o Servidores DNS. Las direcciones IP que allí figuran son las de los servidores DNS.

Windows XP

Windows Vista / Windows 7

Una vez hemos obtenido este dato, podemos acceder a la herramienta preparada por el FBI para averiguar si estamos en un servidor DNS malicioso:

En el caso de que estemos usando uno de los servidores maliciosos, debemos cambiarlo por uno legítimo inmediatamente y realizar un análisis de nuestro sistema con un antivirus actualizado para eliminar cualquier resto de malware que pudiese quedar. Al faltar relativamente poco para la fecha marcada por el FBI para desactivar los servidores DNS maliciosos, desde el laboratorio de ESET en Ontinet.com recomendamos realizar estas comprobaciones en nuestros equipos lo antes posible para evitarnos una desagradable sorpresa.

Josep Albors
@JosepAlbors

Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje