DNSChanger – Limpiando 4 millones de servidores de alojamiento infectados

Internet está lleno de alojamientos infectados. En el mejor de los casos, podemos estimar que hay más de 40 millones de alojamientos infectados y que ofrecen malware, conectados a Internet en cualquier momento, incluyendo dispositivos informáticos tradicionales, dispositivos de redes y smartphones. Esa es una gran cantidad de recursos destinados a producir cibercrimen, virus, gusanos, exploits y spyware en masa. Se han sugerido muchas cosas para limpiar este desastre, los retos son complejos, y los procesos de limpieza actuales están tomando mucho más tiempo del que se esperaba.

Los cibercriminales siguen esforzándose por lanzar ataques en masa, y este sigue siendo un problema considerable – para ellos es, en parte, un juego de números. Aunque explotar e infectar millones de ordenadores podría atraer la atención de LE en algún momento, es un riesgo que muchos están dispuestos a tomar para tratar de conseguir millones de dólares que probablemente se podrían conseguir de mejores formas y con el mismo esfuerzo en otros lugares. Tomemos como ejemplo la limpieza del actual DNSChanger. Es un típico caso de motivación financiera en el que se infectaron 4 millones ordenadores PC y Mac; el FBI trabajó en el caso y logró realizar una serie de arrestos y desactivar el servidor malicioso.

Cuando se “desactivó” DNSChanger, sólo se trataron los servidores DNS “Rove Digital”, a pesar de que la declaración decía: “Hoy, presionando un botón, el FBI y sus socios desmantelaron la compañía criminal Rove”. Aunque las víctimas no suelen considerarse parte de una compañía, dejar 4 millones de alojamientos infectados de DNSChanger conectados a Internet, muchos de los cuales no han descargan actualizaciones de Windows, deja una puerta abierta llena de oportunidades para otros cibercriminales. Y aunque otras botnets en el pasado se han controlado comunicándose con el código del bot malicioso desde servidores de control usurpados, esta vez se está evitando hacerlo. Bredolab (de aproximadamente 3 millones o más de alojamientos infectados) y Coreflood/Afcore (que infectó más de 2 millones de alojamientos) son los dos ejemplos recientes principales de casos en los que LE envió órdenes para ayudar a controlar las redes zombi. Sin este tipo de intervención, ¿cómo va la limpieza cuatro meses después?

Parece que no muy bien. Aproximadamente, de los cuatro millones de alojamientos, medio millón se infectaron en los Estados Unidos, y no se los está limpiando como se planeaba. Mientras tanto, se acerca una fecha límite a principios de marzo para que el DNSChanger Working Group elimine los servidores DNS FBI/ISC que reemplazan a los servidores DNS maliciosos de Estonia. Sólo un ISP solicitó más tiempo para los restantes 50.000 alojamientos infectados en sus redes. Y el FBI prevé que habrá suficientes problemas por lo que ha solicitado al juez que cambie la fecha original del 8 de marzo y le dé tiempo hasta el 9 de julio para desactivar el servidor DNS, doblando así el tiempo concedido para limpiar los alojamientos infectados DNSChanger.

Hay varias opiniones de que alrededor de la mitad de los Fortune 500, cientos de empresas, y muchas agencias gubernamentales administran sistemas que simplemente no podrían resolver el problema de los nombres de dominio y quedarían inoperables si los servidores DNS de reemplazo se desactivaran a principios de marzo.

Lo que nos hace pensar, ¿será esta extensión de verdad una buena idea? Rick Wanner, del SANS cuestiona su valor: “No se trata de si una extensión es una buena idea o no, pero no quiero pensar que las compañías con las que hago negocios, a las que les confío mi información personal, puedan tardar más de 4 meses en limpiarse de una conocida infección de malware”.

¿Si las empresas y organizaciones gubernamentales no pueden limpiar sus sistemas, qué se está haciendo para remediar las infecciones de los sistemas residenciales? Bueno, las solicitudes de DNS para el reemplazo de servidores se están vigilando y se están registrando las IPs de origen. Estas IPs de origen se entregan a los servidores dueños de esas direcciones IP. A partir de ahí, se supone que los servidores pueden rastrear a los clientes usando la dirección IP de origen y notificarles del problema para que realicen la limpieza. Esta es la notificación de Comcast:

Como puedes ver, el enlace dirige a los usuarios a una advertencia urgente que dice que se requiere una acción inmediata. El individuo puede tratar de limpiar la infección por sí mismo de forma gratuita o solicitar un servicio de más de 100 $ para que le ayuden a limpiar su equipo:

Se supone que esta herramienta ayuda a los usuarios a identificar DNSChanger y eliminarlo de forma gratuita. Pero no identifica ni elimina variantes de DNSChanger. En mi sistema, también identificó a ImmunityDebugger, un detector de fallas muy conocido, como si fuese un programa potencialmente malicioso que debía eliminarse. Parece que este programa junta varios factores cuando decide la legitimidad de un programa específico en un sistema, incluyendo los “puntos de carga” que enumera en el sistema y sus puntuaciones de reputación, y recalca que los cambios que se hacen con la herramienta pueden deshacerse. De cierta manera, esto puede ser útil para quienes saben lo que están haciendo y lo que deben ignorar. Esto ayudará a limpiar otras infecciones, no sólo DNSChanger; sirve como una herramienta de limpieza más general, lo que es algo muy bueno. Tal vez no sirve a todos los usuarios, pero es bueno ver que los servidores estén entregando herramientas para limpiar los equipos, porque son el punto de contacto y estas herramientas ya están disponibles. Sería maravilloso que, junto con las herramientas universales y herramientas más especializadas que se aconsejan para eliminar DNSChanger y otras infecciones, se pudiera permitir a los clientes que escoger qué compañía prefieren que les ayude a limpiar su equipo. Por ejemplo, nosotros ofrecemos TDSSKiller y nuestras herramientas de análisis pueden descargarse con todas sus funciones en versiones de prueba.

Para infecciones más complejas relacionadas con DNSChanger, el mejor paquete de herramientas que se difunda debería incluir TDSSKiller. Se actualiza de forma constante y limpia las últimas versiones de Tdss y otros rootkits. Tdss es una plataforma en sí misma que se ha utilizado para distribuir DNSChanger junto a otro malware conocido por desactivar actualizaciones y matar antivirus en los sistemas, haciendo que sea muy difícil limpiarlo. Después, los usuarios puede usar otros escáneres o herramientas para terminar de limpiar DNSChanger. De cualquier forma que se mire, el hecho de que se subestimen y malinterpreten las infecciones, su limpieza y la necesidad de soluciones efectivas contra el malware se está haciendo notable con la Operación GhostClick.