Investigación

El fin de DNS-Changer

Mi colega Kurt habló sobre la “Operation Ghost Click” del FBI aquí y aquí . Esta operación ya ha llegado a su etapa final.

El próximo lunes 9 de julio, a las 06:00 (GMT), se apagarán los servidores DNS provisionales del FBI. Pero todavía hay miles de ordenadores infectados, y uno se pregunta ¿qué les pasará?

Los ordenadores tienen su propia dirección en Internet, la dirección IP. Existen dos versiones:

IPv4, que es una dirección de 32-bit, como: 195.122.169.23 e
IPv6, que es una dirección de 128-bit, como: 2001:db8:85a3:8d3:1319:8a2e:370:7347
Está claro que estas direcciones no son tan fáciles de recordar como, por ejemplo, “kaspersky.com”. Por lo tanto, se creó el “Sistema de Nombres de Dominio” (DNS) que traduce los nombres de dominio como “kaspersky.com” a sus respectivas direcciones IP para conectarlas al servidor.

El malware DNS-Changer reemplaza los servidores DNS del sistema infectado por uno suyo. Nota de prensa del FBI.

Los criminales hicieron esto porque facilita el “Secuestro de clicks”. Esta es una técnica en la que se redirige a los usuarios infectados a sitios web publicitarios de los criminales y a sitios legítimos con “reemplazos publicitarios”, en los que los delincuentes han sustituido los anuncios publicitarios legítimos por otros suyos.

Por suerte, el FBI atrapó a los criminales e instaló servidores DNS provisorios para evitar un “apagón” a la cantidad de ordenadores infectados.

Esta solución provisional se terminará el lunes, cuando se cierren los servidores. Cuando esto suceda, los equipos infectados ya no podrán descifrar los nombres de dominio para conectarse a, por ejemplo, un sitio web.

Por supuesto, si conoces la dirección del servidor puedes utilizarla en vez del nombre, como 195.122.169.23 para entrar a “securelist.com”, pero no es una solución fácil.

Nos gustaría recalcar que, a pesar de la gran cobertura que tiene este asunto, no hay que dejarse llevar por el pánico. La solución es fácil – la puedes leer abajo.

En primer lugar, es interesante recalcar que en 2012 detectamos 101.964 intentos del malware DNSChanger de infectar a nuestros usuarios.

Lo bueno es que las infecciones se bloquearon y la cantidad de intentos de infección está disminuyendo.

Por ejemplo, este mapa de la semana pasada muestra este descenso en la cantidad de intentos de infección/detecciones. Claro que los ordenadores desprotegidos o con seguridad obsoleta corren el peligro de que la detección haya pasado desapercibida.

Entonces, ¿cómo puedes saber si tu equipo está infectado con DNSChanger?

La organización DNS Changer Working Group ofrece información útil en su sitio web: http://www.dcwg.org/detect/. Por desgracia, como mencionamos antes, los sitios web automáticos que se crearon con este fin no son 100% efectivos. Por eso, la solución manual para revisar las IP del servidor DNS es mucho mejor.

Si estás infectado, puedes cambiar tus entradas DNS por las de los servidores DNS gratuitas de Google: 8.8.8.8 y 8.8.4.4. OpenDNS también ofrece dos: 208.67.222.222 y 208.67.220.220, que también recomendamos por sus características de seguridad adicionales.

La mejor solución es, por supuesto, instalar un paquete de seguridad que pueda detectar y limpiar la infección y, además, pueda arreglar los servidores DNS.

Como muchas infecciones de DNSChanger van acompañadas de TDSS, un rootkit muy dañino, también puedes usar nuestra herramienta “Kaspersky TDSSKiller” para detectar y eliminar la infección.

El fin de DNS-Changer

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada