Investigación

Actualización de “DNSChanger – Limpiando 4 millones de servidores de alojamiento infectados”

En noviembre de 2011 el FBI anunciaba que su operación “Ghost Click”, lanzada contra la red zombi Rove Digital, cuyos esfuerzos tardíos de limpieza ya hemos discutido , seguía obsesionando a las redes de Internet y a los medios de comunicación. Un artículo de Forbes y otro de Times, publicados ayer, sacaron de nuevo el tema a la luz, afirmando que el sitio ofrecido por el grupo DNSChanger Working Group es nuevo, pero no es así. La operación de 2009 y el reemplazo y la tardía limpieza del servidor DNS temporalmente subcontratado, son lo mismo. Este fantasma no tiene nada de sobrenatural, entonces ¿por qué toda esta discusión? Un juez federal autorizó al FBI para que mantenga estos servidores remplazados DNS hasta principios de julio. Cuando los servidores se desactiven, los sistemas infectados que envíen peticiones DNS a los servidores que pertenecían a Rove Digital, simplemente no podrán recibir respuesta a las peticiones DNS. La fecha fatídica (9 de julio) está a la vuelta de la esquina, y siguen circulando notificaciones sobre los cientos de miles de sistemas infectados sólo en EE.UU.

En pocas palabras, los sistemas infectados por DNSChanger no podrán conectarse, y las conexiones a Internet no funcionarán en los sistemas sin desinfectar. Los sistemas sin desinfectar de agencias gubernamentales, de los usuarios domésticos y de otras organizaciones en EE.UU. no podrán funcionar online, es decir, no podrán enviar mensajes de correo, etc. Aparentemente estarán conectados, pero no se podrán comunicar con ningún otro equipo.

A la vez, algunos esfuerzos de identificación están teniendo tropiezos. Ayer infecté un sistema con DNSChanger y visité dns-ok.us. Estos son los resultados:

El servicio técnico de mi proveedor de Internet no está al tanto de ningún “desvío DNS” que pudiera ocasionar el fracaso de la prueba. Actualizaré esta publicación si nuestro administrador de red me avisa que están desviando las peticiones DNS de mi sistema. Pero eso es muy dudoso. Es decir, esta verificación podría confundir a los dueños de un sistema infectado. Y la dirección IP estaba dentro de los rangos provistos por el FBI y a cargo de Rove Digital. ¿Quizás algún lector sepa algo al respecto?

ACTUALIZACIÓN (1:40 pm MST) – He recibido algunos detalles del administrador de mi servicio de Internet. No están desviando ninguna petición DNS. Sin embargo, uno de sus mayores proveedores de tráfico de salida está desviando las peticiones DNS hacia otro servidor DNS de su propiedad. El otro enlace de tráfico de salida a la red no parece estar enrutando peticiones DNS. Entonces, el tráfico de mi equipo cliente infectado debe estar siguiendo rutas a través del mayor proveedor de tráfico de salida, por lo que aparece el aviso de respuesta verde/limpio. Y según cómo se mire, la respuesta desde el sitio puede ser inconsistente: a veces roja, a veces verde. Por desgracia, este tipo de situación perjudica los esfuerzos de limpieza. Henos aquí de nuevo. A los millones de usuarios cuyos sistemas pueden estar infectados con DNSChanger y están confundidos con la información, les recomiendo descargarse una “solución antivirus” (http://www.dcwg.org/fix/) y que analicen su sistema. Por supuesto, les recomiendo nuestros productos (http://www.kaspersky.com) porque con ellos he logrado limpiar sistemas infectados con DNSChanger (además, estos productos conservan su completa funcionalidad durante el periodo de prueba). También he usado nuestra herramienta de eliminación de rootkits TDSSKiller para limpiar complejas infecciones de DNSChanger.

Actualización de “DNSChanger – Limpiando 4 millones de servidores de alojamiento infectados”

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada