Cómo detectar y reparar una máquina infectada con DNSChanger
El 9 de julio, el FBI cerrará una red de servidores DNS de la que muchas personas han dependido para tener un acceso adecuado a Internet. Estos servidores eran originalmente parte de una estafa en la que una red criminal de ciudadanos estonios desarrolló y distribuyó un paquete de malware llamado DNSChanger, pero que el FBI confiscó y convirtió en un servicio de DNS legítimo.
Esta estafa de malware se ha extendido lo suficiente como para que incluso empresas de terceros como Google y Facebook y varios ISP como Comcast, COX, Verizon y AT&T se hayan unido en el esfuerzo de ayudar a eliminarla emitiendo notificaciones automáticas a los usuarios de que sus sistemas están configurados con la red DNS falsa.
Si recientemente ha recibido una advertencia al realizar una búsqueda en Google, navegar por Facebook o usar la Web de cualquier otro modo que afirme que su sistema puede estar en peligro, puede considerar tomar algunas medidas para verificar la presencia del malware en su sistema. Esto se puede hacer de un par de maneras. En primer lugar, puede verificar la configuración de DNS en su sistema para ver si los servidores que utiliza su computadora forman parte de la red DNS fraudulenta.
En sistemas Mac abra las preferencias del sistema de red y para cada servicio de red (Wi-Fi, Ethernet, Bluetooth, etc.), seleccione el servicio y luego haga clic en el botón» Avanzado». Siga esto seleccionando la pestaña» DNS » y tomando nota de los servidores DNS enumerados. También puede hacer esto en la Terminal ejecutando primero el siguiente comando:
networksetup-listallnetworkservices
Después de ejecutar este comando, ejecute el siguiente comando en cada uno de los nombres enumerados (asegúrese de eliminar cualquier asterisco delante de los nombres y asegúrese de que los nombres estén entre comillas si hay espacios en ellos):
networksetup-getdnsservers «NOMBRE DE SERVICIO»
Repita este comando para todos los servicios enumerados (Especialmente conexiones Ethernet y Wi-Fi) para enumerar todos los servidores DNS configurados.
En un equipo Windows (incluidos cualquiera de los que haya instalado en una máquina virtual), puede abrir la herramienta de línea de comandos (seleccione «Ejecutar» en el menú Inicio e ingrese «cmd», o en Windows 7 seleccione «Todos los programas» y luego elija la línea de comandos en la carpeta Accesorios). En la línea de comandos, ejecute el siguiente comando para enumerar toda la información de la interfaz de red, incluidas las direcciones IP configuradas del servidor DNS:
ipconfig / all
Una vez que tenga los servidores DNS de su sistema en la lista, introdúzcalos en la página web del comprobador de DNS del FBI para ver si están identificados como parte de la red DNS falsa. Además de buscar y verificar manualmente la configuración de DNS, han aparecido una serie de servicios web que probarán su sistema para detectar el malware DNSChanger. El Grupo de Trabajo DNSChanger ha compilado una lista de muchos de estos servicios, que puede usar para probar su sistema (para aquellos en los EE. dns-ok.us para probar su conexión).
Si estas pruebas salen limpias, entonces no tiene de qué preocuparse; sin embargo, si le dan advertencias, puede usar un escáner antimalware para verificar y eliminar el malware DNSChanger. Dado que el malware se detuvo abruptamente en noviembre de 2011, ha habido tiempo suficiente para que las empresas de seguridad actualicen sus definiciones antimalware para incluir todas las variantes de DNSChanger. Si tiene un escáner de malware y no lo ha usado recientemente, asegúrese de iniciarlo y actualizarlo completamente, seguido de realizar un análisis completo de su sistema. Haga esto para cada PC y Mac de su red y, además, asegúrese de verificar la configuración de su enrutador para ver si la configuración de DNS es adecuada de su ISP o si es una configuración de DNS fraudulenta.
Si su enrutador o computadora no muestra ninguna dirección de servidor DNS válida después de haber eliminado el malware y su sistema no puede conectarse a los servicios de Internet, puede intentar configurar su sistema para que use un servicio DNS público, como los de OpenDNS y Google, introduciendo las siguientes direcciones IP en la configuración de red de su sistema:
8.8.8.8
8.8.4.4
208.67.222.222
208.67.220.220
Si después del lunes descubre que ya no puede acceder a Internet, es probable que su sistema o enrutador de red todavía esté configurado con los servidores DNS falsos y tendrá que volver a intentar detectar y eliminar el malware de sus sistemas. Afortunadamente, el malware no es de naturaleza viral, por lo que no se propaga por sí solo ni infecta automáticamente los sistemas. Por lo tanto, una vez eliminado y una vez que los usuarios han configurado servidores DNS válidos en sus sistemas, los equipos afectados deben tener acceso adecuado a Internet.
Background
DNS es el «Sistema de Nombres de dominio», que actúa como la guía telefónica de Internet y traduce URLs amigables para personas como «www.cnet.com» en sus respectivas direcciones IP que las computadoras y los enrutadores utilizan para establecer conexiones. Dado que el DNS es la interfaz entre la URL escrita y el servidor objetivo, la red delictiva creó su propia red DNS que en gran parte funcionaría normalmente, pero también permitiría al anillo redirigir arbitrariamente el tráfico de URL específicas a sitios web falsos con el propósito de robar información personal o hacer que la gente haga clic en anuncios.
Configurar la red DNS falsa en sí no es suficiente, ya que esta red debe especificarse en la configuración de un equipo para poder usarla. Para que esto sucediera, la red criminal creó el malware DNSChanger (también conocido como RSPlug, Puper y Jahlav), que se distribuyó como un caballo de troya e infectó con éxito millones de sistemas de PC en todo el mundo. Una vez instalado, este malware cambiaría continuamente la configuración de DNS para el equipo afectado e incluso para los enrutadores de red, para apuntar a la red DNS falsa de la red criminal. Como resultado, incluso si las personas cambiaran manualmente la configuración de DNS de sus equipos, estos cambios serían revertidos automáticamente por el malware en sus sistemas.
Dado que millones de usuarios de PC habían sido infectados por este malware, una vez que la red criminal fue desmantelada en una operación encubierta multilateral llamada Operación Clic Fantasma en noviembre de 2011, el FBI y otras autoridades gubernamentales decidieron no apagar la red DNS fraudulenta, ya que esto habría evitado instantáneamente que los sistemas infectados resolvieran URL, y por lo tanto habría cerrado Internet de manera efectiva para ellos. En su lugar, la red DNS se mantuvo activa y se convirtió en un servicio legítimo mientras se realizaban esfuerzos para notificar a los usuarios del malware DNSChanger y esperar a que disminuyera el número de infecciones en todo el mundo.
Inicialmente, la red DNS fraudulenta estaba programada para su cierre en marzo de este año; sin embargo, mientras que la tasa de infecciones disminuyó significativamente una vez que se disolvió la red criminal, el número de computadoras infectadas se ha mantenido relativamente alto, por lo que el FBI extendió la fecha límite hasta el 9 de julio (el próximo lunes). Desafortunadamente, incluso a medida que se acerca este plazo, miles de sistemas de PC en todo el mundo siguen infectados con el malware DNSChanger, y cuando los servidores se apagan, estos sistemas ya no podrán resolver las URL a las direcciones IP.