Lunes 9 de julio, como no perder su conexion a internet - DNSChanger

El lunes 9 de Julio, el FBI desconectará el servidor de la red zombi DNS Changer, lo que podría dejar sin conexión de Internet a cientos de miles de personas de todo el mundo.

En noviembre del año pasado, el FBI, con la ayuda de varios expertos y organizaciones, llevó a cabo una operación para conseguir el control del servidor de DNS Changer, una de las mayores amenazas del momento. Hasta entonces, los cibercriminales habían estado utilizando la red zombi para robar datos personales y financieros a los usuarios de Internet.

Desde entonces, las autoridades estadounidenses han estado controlando los servidores de DNS Changer para asegurarse de que no se utilicen para cometer crímenes. Sin embargo, esto supone una gran inversión de recursos humanos y económicos, por lo que un juez dio un plazo hasta el 9 de julio para desconectar el servidor de forma definitiva.

Los ordenadores infectados redirigen todas sus conexiones a través de los servidores de comando y control de DNSChanger, por lo que, al desconectar estos servidores, la configuración DNS de más de 300.000 ordenadores infectados quedará obsoleta y los usuarios afectados no podrán acceder a los sitios de Internet a no ser que escriban las direcciones IP en la barra de navegación.

Las autoridades han estado anunciando el cierre de este servidor por meses, pero aun así todavía hay cientos de miles de usuarios que no están listos para el cambio.

La empresa de seguridad BitDefender dice que muchas organizaciones gubernamentales y grandes compañías de Fortune 500 siguen infectadas por esta amenaza. Aun así, los analistas de F-Secure creen que la amenaza afectará principalmente a empresas pequeñas y medianas.

 Pero que es realmente eso cual es su historia:

Es un peligroso troyano descubierto en el año 2007 y varias veces comentado en @InfoSpyware el cual modifica, en el equipo infectado, la configuración de DNS (Domain Name System –Sistema de Nombres de Dominio-) con el fin de redirigir a sus victimas a páginas maliciosas o sitios ilegales, controlados por ciberdelincuentes que han sido atrapados por el FBI en noviembre del 2011.

Durante estos años (2007/2012), el troyano ha seguido evolucionado y modificándose para evitar su detección y posterior eliminación, incluso utilizando técnicas de rootkit y entre sus nombres “alias” se encuentra llamado como: TDSS, Wareout, Alureon, TidServ, TDL4, DnsChanger.

El DNS es un protocolo utilizado en internet para asignar direcciones IP (Ejemplo: 207.46.130.108) a un nombre descriptivo (Ejemplo: www.microsoft.com). Un servidor DNS resuelve (en un modo de explicación simple) que para cada IP, le corresponde un “nombre”, que es la dirección con la que solemos manejarnos para entrar a un sitio.

¿Qué es el DNSChanger? Es un pequeño archivo de 1,5 kilobytes de tamaño que en realidad es un peligroso troyano que modifica, en el equipo afectado, la configuración de DNS con el fin de redirigir al usuario a páginas maliciosas o sitios ilegales, controladas por un atacante sin su conocimiento ni consentimiento. Este troyano está diseñado para cambiar el “NameServer” valor clave de registro a una dirección IP personalizada. Esta dirección IP se suele cifrar en el cuerpo de un troyano.

.

¿Cuándo apareció DNSChanger? Fue descubierto por primera vez en 2007 y desde ese momento ha infectado al menos a cuatro millones de equipos informáticos en cien países distintos. Sólo en Estados Unidos se cifra en 14 millones de dólares la cantidad económica robada. Según el FBI la organización detrás de DNSChanger logró conseguir la red de cibercrimen más grande hasta ahora conocida. Fue desmantelada en noviembre de 2011.

.

¿Quiénes son los infectados? El troyano afecta a sistemas Windows, Mac OS o Linux ya que aprovecha el navegador web no una vulnerabilidad del sistema operativo. Además de ordenadores, algunos routers también se ven infectados. Algunas direcciones IP hostiles utilizadas por DNSChanger son:

64.28.176.1 – 64.28.191.254
67.210.0.1 – 67.210.15.254
77.67.83.1 – 77.67.83.254
85.255.112.1 – 85.255.127.254
93.188.160.1 – 93.188.167.254
213.109.64.1 – 213.109.79.254

.

¿Por qué no es fácil de eliminar este troyano? Una de las consecuencias de la desactivación de los servidores maliciosos por el FBI, es que los equipos afectados perderán su capacidad de navegación en Internet y otros servicios como el correo electrónico, al eliminarse estas DNS ilegítimas, pero básicas para su funcionamiento.

.

¿Por qué el 9 de julio de 2012? Después del desmantelamiento del botnet en noviembre, el FBI obtuvo una orden judicial para controlar los servidores ilegítimos y mantener temporalmente la red. La orden judicial terminaba en primera instancia el 8 de marzo y luego fue prolongada hasta el día Lunes 9 de Julio del 2012, cuando la red será apagada y las computadoras con esas DNS no serán capaces de acceder a Internet.

.

¿Cómo comprobar si estamos infectados? Cualquier software de seguridad instalado en tu equipo es capaz de detectar la infección. Otra forma más rápida de comprobación es mediante esta herramienta llamada: “DNSChanger-Check” proporcionada por el Centro de alerta anti-botnet alemán en colaboración con el Instituto español de tecnologías de la Comunicación (INTECO).

.

¿Qué hago si estoy infectado? Puedes desinfectar tu equipo mediante estas instrucciones proporcionadas por la Oficina de Seguridad del Internauta y mediante soluciones gratuitas. Recuerda que aunque elimines el virus debes restaurar una configuración de DNS legítima, tanto en la configuración de red del sistema operativo de tu ordenador como en la del router.