El malware DNSChanger - ¿Qué pasará a partir del 9 de julio de 2012?

En noviembre de 2011, la operación Ghost Click liderada por el FBI, la NASA-OIG y la policía de Estonia, permitió desarticular una organización delictiva denominada Rove Digital la que se dedicaba a distribuir diferentes malwares (softwares maliciosos), entre ellos, el conocido como DNSChanger. Este malware ocasionó la incorrecta configuración de DNS de millones de computadoras en todo el mundo. En concreto, se modificaron las direcciones IP de los DNS a utilizar por dichas computadoras, haciendo que las computadoras "apuntaran" a servidores bajo el control de Rove Digital.

Los rangos de direcciones IP maliciosas asociadas al DNSChanger son:

85.255.112.0 – 85.255.127.255

67.210.0.0 - 67.210.15.255

93.188.160.0 - 93.188.167.255

77.67.83.0 - 77.67.83.255

213.109.64.0 - 213.109.79.255

64.28.176.0 - 64.28.191.255

Como consecuencia de lo ocurrido, se creó el DNS Changer Working Group (DCWG) con el objetivo de coordinar el trabajo de desarticulación en la red de los efectos de la acción de la botnet asociada a la empresa Rove Digital. En su portal Web (http://www.dcwg.org/) se puede encontrar abundante y útil información sobre cómo detectar si una computadora podría estar infectada y en caso afirmativo, cómo corregir el problema.

Desde entonces, los servidores DNS maliciosos pasaron a estar bajo el control del Internet Systems Consortium (ISC) y respondiendo de manera correcta a las consultas DNS realizadas por las computadoras afectadas por el DNSChanger. El próximo lunes 9 de julio dichos servidores serán apagados. A partir de esa fecha, las computadoras que se encuentren mal configuradas en cuanto al DNS, no podrán conectarse nuevamente a Internet hasta que se configuren adecuadamente los servidores DNS a utilizar. Formalmente, no podrán hacer uso del servicio de traducción de direcciones IP a nombres.

Existen varios sitios Web donde se puede chequear si una computadora estaría contaminada con el DNSChanger o no. Algunos de ellos son:

http://www.dns-changer.eu/es/check.html

http://www.dns-ok.us/

Puede ocurrir que al chequear una computadora sobre si se encuentra afectada por el malware DNSChanger, la herramienta informe que no lo está, lo cual podría llegar a ser incorrecto. Ello se puede deber, por ejemplo, a que en dicha conputadora se encuentra instalada alguna aplicación del tipo parental control o a que la misma se conecta a Internet a través de un proxy, lo que sí está correctamente configurada en cuanto al DNS, pero no así la computadora propiamente. Es recomendable entonces que el chequeo se realice "a mano". Por ejemplo, en ambiente Windows, ello se hace ejecutando el comando ipconfig /all desde el prompt de comandos y observando la salida asociada a "Servidores DNS..." u observando las "Propiedades" de la "Conexión de red" que se utiliza. Por más detalles se pueden seguir los pasos disponibles en: http://cert.inteco.es/Actualidad/Actualidad_Virus/DNSChanger

No debe olvidarse que también pueden estar infectados los routers que se utilicen para conectarse a Internet. Según cada fabricante será la forma de acceder a los mismos y verificar si las direcciones IP de los servidores DNS configuradas están en el rango de las direcciones maliciosas asociadas al DNSChanger.

Más información relativa al DNSChanger se puede encontrar en:

http://www.fbi.gov/news/stories/2011/november/malware_110911/dns-changer-malware.pdf

http://www.f-secure.com/weblog/archives/00002375.html

http://googleonlinesecurity.blogspot.com.au/2012/05/notifying-users-affected-by-dnschanger.html

http://www.facebook.com/notes/facebook-security/notifying-dnschanger-victims/10150833689760766

Versión 2.0