INTECO es el Instituto Nacional de Tecnologías de la Comunicación en España y esta entidad ha recordado que  en exactamente 38 días, a partir del 9 de Julio del 2012 existe la posibilidad de que equipos informáticos de todo el mundo puedan quedar sin acceso a Internet, cuando se apaguen definitivamente los servidores controlados por el FBI en la operación de control del virus DNSChanger.

El virus DNSChanger es un troyano que afecta a los sistemas operativos Windows, Mac OS y Linux, la principal funcionalidad de este troyano es modificar la configuración DNS (Domain Name Service) de los equipos infectados, con el fin de que utilicen servidores ilegítimos, controlados por los atacantes.

Inicialmente, el troyano modifica la configuración DNS del equipo infectado para cambiar los servidores DNS legítimos por servidores DNS ilegítimos. Después de ese cambio, intenta acceder al router al que está conectado el equipo, si logra conseguir el acceso a este, también cambia los servidores DNS utilizados por los servidores DNS no legítimos. Con este último cambio, el troyano logra que equipos que no se encuentren infectados por el troyano pero que utilicen el mismo router comprometido tengan manipulada la resolución DNS, por lo que también se ven afectados.

Operación Ghost Click

El 11 de Noviembre del pasado año, el FBI llevó a cabo la operación Ghost Click, a través de la cual desarticuló la red del troyano DNSChanger y detuvo a los responsables de la misma, todo ello en estrecha colaboración con la Justicia de Estados Unidos y distintas empresas privadas y organizaciones que colaboraron en esta operación.

A partir de esa fecha, se creó un grupo de trabajo sobre el DNSChanger, con el fin de iniciar una serie de medidas de mitigación y desinfección de esta botnet. Para ello, a través de una orden judicial, el FBI y el ISC (Internet Systems Consortium) tomaron el control de los servidores DNS ilegítimos, sustituyéndolos por otros completamente limpios y funcionales, de forma que los usuarios infectados con este malware pudieran seguir accediendo a los servicios en línea sin problemas.

Si se hubiesen apagado los servidores fraudulentos en el momento de desarticular la botnet, millones de usuarios infectados se habrían quedado sin acceso a Internet, ya que sus equipos no serían capaces de realizar consultas DNS, el cual es un protocolo fundamental y necesario para el funcionamiento de las comunicaciones en Internet.

Inicialmente, el apagado de los servidores DNS controlados por el FBI y el ISC estaba previsto realizarse el día 8 de Marzo del 2012, pero por parte de la justicia de Estados Unidos se consiguió un aplazamiento de 120 días. Por lo tanto dichos servidores estarán activos hasta el día 9 de Julio del 2012.

A partir de esta ultima fecha indicada, los equipos que continúen con la configuración de DNS manipulada y utilizando los servidores relacionados con la botnet no tendrán acceso a Internet.

Recuerde que esta botnet ha afectado millones de equipos en todo el mundo. Para saber si usted es uno de los afectados debe hacer lo siguiente:

Lo primero es detectar si su DNS está afectada.

Si está afectada y su equipo infectado con DNSChanger, hacer la desinfección del mismo.

Para comprobar si su computadora está infectada solo debe  ir a la página web de DNS-Changer Check y una vez allí después de marcar la casilla, haga clic en el botón comenzar. Esta página web es una herramienta online creada especialmente por INTECO para detectar las modificaciones realizadas por el troyano DNS Changer.

Eliminar el troyano es relativamente sencillo… y las indicaciones para hacerlo estan documentadas para los distintos sistemas operativos por la OSI (Oficina de Seguridad del internauta) en este enlace.

Como resultado de la participación de INTECO-CERT en grupos de trabajo internacionales especializados en la cooperación y la gestión de incidentes de seguridad, específicamente en España, desde el día 16 de Febrero del 2012 se inició un procedimiento de mitigación del troyano DNSChanger. Para lograr esto, se ha trabajado en colaboración con el ISC como la entidad encargada de gestionar los servidores DNS relacionados con la botnet y con ECO (Asociación de la Industria de Internet alemana).

Con este fin a través de los canales que dispone INTECO, se han realizado diversas iniciativas para desinfectar los equipos afectados, desde la emisión de avisos a la atención y asistencia a los usuarios afectados.

Desde que se inició el procedimiento de mitigación y desinfección el 16 de febrero del 2012, se han podido detectar y notificar unos 350.000 direcciones IP únicas infectadas con este malware. Debido a que muchos ISP (Internet Service Provider) utilizan en sus redes direccionamiento IP dinámico, esto no implica que este sea el total de maquinas infectadas en España, pero es un dato significativo que ayuda a calcular el impacto de esta botnet.

Fuente: Inteco News