DNSChanger – ¡La última llamada para limpiar!

Gracias, Barry Greene y DNS Changer Working Group (DCWG). Los servidores DNS operados por el DCWG se han desconectado:

“A las 12:01, hora este de los EE.UU., del lunes 9 de julio de 2012, el DCWG dejó de responder a las solicitudes DNS de los ordenadores infectados. Esto se hizo para cumplir con la orden judicial del Departamento de Justicia de los Estados Unidos que autorizó la limpieza de los servidores DNS.

A las 12:23, hora este de los EE.UU., del lunes 9 de julio de 2012, el servidor comenzó a responder a todas las solicitudes DNS con un Protocolo de mensajes de control de Internet (ICMP) “Unreachable” (inaccesible). Esto ayuda a los ordenadores infectados a solucionar su problema si no pueden acceder a los servidores DNS”.

**************************************************

Y aquí estamos. Es la última llamada para limpiar DNSChanger. El lunes se cerrarán los servidores DNS provisionales de DNSChanger operados por el FBI porque se venció el plazo del tribunal, y tus sistemas todavía podrían estar utilizando estos servidores. Hay muchos sitios web que podrían ayudarte a identificar si tu ordenador o router todavía están configurados para que tu DNS (sistema de nombres de dominio) opere con los servidores de DNSChanger. Por una parte, este problema se debe a que los principales servidores “upstream” de Internet han creado una confusión sin querer, y por otra a causa de las mediocres o inefectivas de medidas de detección del lado de la web.

En Estados Unidos, unos 60.000 anfitriones necesitan todavía cambiar sus configuración de DNS. ¿Cuántos de estos sistemas están “infectados” de verdad? Nadie sabe. Este número podría ser exagerado. Puede ser que ninguno de estos sistemas esté infectado. O que todos lo estén. Es posible que todos los sistemas del lado de la Red de área local (LAN) de los routers domésticos y corporativos, o los sistemas libres de malware que todavía tengan artefactos de esta infección, sigan usando los servidores Rove Digital para resolver sus DNS.

En otras palabras, no quiere decir que tengas neumonía, pero sí una tos. Y esto hace que sea mucho más probable que vuelvas a enfermarte. Los productos de algunas compañías, como los de Kaspersky Lab, han estado detectado las configuraciones del artefacto DNSChanger en los equipos infectados y ayudando a reconfigurarlos para que usen servidores “limpios”. Los productos domésticos de Kaspersky Endpoint Security 8.0 y 2010 presentan esta rutina de restauración de DNS con esta alerta para “Trojan.Multi.DNSChanger.Gen”:

Sólo debes pulsar en “Sí” y la configuración DNS de tu servidor se reconfigurará utilizando el DHCP asignado o servicios DNS limpios y de uso libre. Después de reconfigurar el lado del anfitrión, vale la pena visitar el sitio web www.dns-ok.us para descubrir si tu router doméstico todavía sigue con una configuración maliciosa.

Algo interesante de esta limpieza es que ya se han confiscado los recursos de la compañía de los operadores. Por lo que deberíamos pensar que este es el fin de la historia. Pero la gran cantidad de variantes de malware que alteraron la configuración de DNS para permitir el secuestro de clicks durante estos últimos años pueden haber apagado también los Antivirus y las actualizaciones del OS. Y los operadores de la infraestructura de Internet han estado trabajando duro para mantenerse dentro de los marcos legales del caso y notificar a los administradores de las redes de los sistemas afectados. Pero eso no significa que los sistemas se estén reconfigurando o limpiando.

Es más, hasta la organización de los operadores se ha simplificado para los medios de comunicación. Se ha referido como “Rove Digital” a la mayoría de los objetos incautados a las principales compañías. Pero los operadores también utilizaban muchos otros nombres, desde Nueva York, Ucrania, Rusia, California, Estonia, Dinamarca y Chipre. Es una lista confusa que probablemente no has visto, pero incluye Furox, Tamme Arendus, SPB Group Cernel, Internet Path, Promnet Limited, ProLite Limited y Front Communications. Aunque sólo se apunta con el dedo a “Rove Digital”, se cree que todas estas organizaciones transferían millones de dólares entre sí.

Los ejemplos de secuestros de click que pusieron los fiscales son redirecciones de los principales motores de búsqueda (Google, Bing, Yahoo!), resultados que cualquier persona puede reconocer: del enlace legítimo de iTunes a una tienda de iTunes falsa, de un enlace de Netflix a un sitio fraudulento de “ButgetMatch”, del enlace del Ministerio de Hacienda a la ayuda con los impuestos de “H&R Block”.

Si tu proveedor “upstream” no ha modificado tu resolución DNS, puedes visitar sitios como dns-ok.us, donde verás esta modificación roja de DNSChanger si la evaluación sale positiva:

O sitios como este:

Pero, vuelvo a repetir, puedes ver este aviso en un equipo que tuvo DNSChanger en el pasado y necesita recibir una limpieza profunda:

Entonces, en mi humilde opinión, trabajar con programas que buscan las amenazas por ti, visitar sitios web DCWG y después revisar de forma manual los routers domésticos y corporativos es el mejor método de protección si te preocupa que una variante de DNSChanger haya infectado tu sistema y reconfigurado los parámetros DNS en tus ordenadores o router.