DNSChanger ha conseguido convertirse en los últimos días en una de las amenazas informáticas que más atención mediática está generando. ¿El motivo? Podría dejar sin Internet a una gran cantidad de ordenadores a partir del ocho de marzo. El FBI tiene pensado echar abajo los servidores
que mantienen a los ordenadores infectados con capacidad de conectarse a
Internet. A partir de ese momento. Te contamos las características de
este peligroso troyano y la manera en la que afecta a los ordenadores
que están infectados.
DNSChanger es un troyano que salió a la luz hace ya cinco años, en 2007. Se trata de un programa malicioso de muy poca envergadura (poco más de un kb)
que llega al ordenador infectado de diversas maneras, normalmente
escondido en un archivo ejecutable aparentemente legítimo. Una vez
dentro, el troyano actúa cambiando las direcciones DNS del sistema. Este cambio le permite redirigir el tráfico web a unos servidores controlados por los cibercriminales sin que el usuario se esté dando cuenta del proceso que se lleva a cabo.
Una vez se conecta con los servidores ilegítimos, los cibercriminales son capaces de redirigir el tráfico web del internauta a páginas con contenido malicioso, como por ejemplo a la hora de realizar búsquedas. El objetivo principal del malware es obtener ingresos por medio de los datos personales que se roban a los usuarios en dichos sitios fraudulentos. Los cibercriminales llegaron a formar una red de al menos cuatro millones de ordenadores infectados en más de cien países en el mundo (solo en Estados Unidos, se estima que llegaron a obtener más de 10 millones de euros robando a los internautas).
En noviembre del año pasado, el FBI consiguió
desmantelar la red de servidores que controlaban los ordenadores
infectados y detuvo a seis ciudadanos estonios acusados de estar detrás
de estos actos criminales. El problema del DNSChanger es que las direcciones DNS quedan “atadas” a los servidores ilegítimos, de manera que si se echan abajo estos servidores el usuario pierde la conexión a Internet. Gracias a una orden judicial, el FBI sustituyó los servidores maliciosos por otros legítimos que mantienen estas direcciones DNS sin redirigir la navegación a páginas maliciosas.
El caso es que la orden judicial del FBI expira el ocho de marzo, momento en el que el organismo estadounidense procederá a apagar los servidores,
con el peligro de que los ordenadores infectados que no se hayan
limpiado de manera correcta se queden sin acceso a Internet. Esto
sucederá a menos de que se prorrogue la orden judicial un tiempo más.
Ya hemos hablado anteriormente en un artículo de cómo se puede saber si nuestro ordenador está infectado por DNSChanger. Una vez se descubre, el siguiente paso es utilizar un antivirus (la mayoría de ellas protegen de DNSChanger) para eliminar el troyano y luego es necesario restaurar los servidores DNS legítimos a través de alguna herramienta diseñada para ello.
(Publicado en tuexoertoIT.com)
