El día 9 de Julio del 2012 el FBI en conjunto con el ISC (Internet Systems Consortium) van apagar todos los servidores DNSChangers que sustituye Servidores DNS, como parte de la “Operación Ghost Click” la cual duró 2 años de investigación y lograron desarticular una organización de Black Hackers en la cual arrestaron a 6 Estonianos los cuales infectaron millones de computadoras alrededor del mundo en la cual podían manipular la industria de la publicidad en internet, donde vendieron ilegalmente publicidad por un monto de $14 millones. Los usuarios infectados con este Malware daban paso a hospedar cualquier cantidad de otros virus.
¿Qué son servidores DNS?
Para entender que es un DNSChanger primero voy a explicar que es un DNS (Domain Name System), el DNS es un servicio de internet que convierte el nombre de un Dominio en una dirección de protocolo de internet o IP que es la forma como las computadoras interactúan entre ellas. Cuando usted ingresa un nombre de dominio tal como www.twitter.com, www.google.com etc en la barra de direcciones de su buscador (Firefox, Chrome o Safari), su computadora contacta el servidor de DNS para determinar la dirección IP del sitio web contenido en un servidor web específico para finalmente mostrarlo en la pantalla de su ordenador.
Los servidores de DNS son operados por los proveedores de servicio de internet o ISP (Internet Service Provider) en este caso en Costa Rica: Amnet, Cable Tica, ICE etc, y en los Estados Unidos: AT&T, Verizon, AOL etc, las direcciones de DNS están contenidas dentro las configuraciones de red de cada computadora. DNS y Servidores DNS son componentes muy importantes de su computadora sin ellos usted no podría accesar sitios en internet, enviar correos o cual otra acción.
¿Qué es DNSChanger Malware y cómo funcionan?
Es un DNS Hijacking o DNS Redirection, es una práctica que lo que hace es redireccionar la resolución de los nombres de un servidor DNS a otro. El DNSChanger causa que una computadora se comunique con un servidor DNS falso de 2 maneras:
- Este virus cambia los ajustes de servidor DNS reemplazando los los suministrados por su proveedor de servicio de internet a los servidores DNS operados por el criminal.
- La segunda forma es accesando los dispositivos conectados a la computadora ya sea el Modem o Router, este malware intenta accesar los dispositivos con sus usuarios y claves por defecto y si logra hacerlo con éxito cambia los DNS suministrados por su proveedor de servicio por los de los servidores DNS de los criminales.
Hay varios motivos por los cuales hacen este tipo de prácticas, algunas de ellas pueden ser phising o bloquear accesos a ciertas páginas web, otra práctica es la de mostrar publicidad a los usuarios y obtener estadísticas.
Un ejemplo común de esta práctica puede ser la siguiente: Usted va ingresar al sitio web de su banco a realizar diferentes transacciones, si su computadora no esta infectada usted ingresa normal a la página oficial del banco, si su computadora está infectada con este virus puede suceder que ingrese a la página de su banco pero no sea la real, e intente ingresar la clave pero nunca logre accesar ya que lo que está sucediendo es que le esta robando su clave y la página realmente no existe esto es lo que se conoce como Phishing.
En el caso de como afecta en el caso del mercadeo en internet, hay muchas compañías que se dedican a crear “ad networks” o redes de publicidad a través de toda la red de internet entonces cuando se ingresa a varios sitios web se puede observar publicidad de banners y el dueño de la página recibe un porcentaje de dinero cada vez que alguien le di click a la publicidad o el usuario complete una acción, ya sea una compra o llenar un formulario de contacto. En el caso del virus DNSChanger sucede algo similar simplemente que a las personas dueñas de los sitios donde logran poner los banners no reciben ninguna compensación.
Se dice que el virus DNSChanger estuvo activo desde 2007 hasta 2011. Este Malware o Trojano fue creado por la compañía Rove Digital una compañía Estoniana que ganó mucha fama como un distribuidor masivo de virus trojanos y spammer creada por Vladimir Tšaštšin (también conocido como "SCR") quien está en prisión por fraude en tarjetas de crédito, lavado de dinero y otros cargos. Vladimir también estaba ligado a un website hosting llamado EstDomains quien era conocido por hospedar malware, pornografía infantil y contenido ilegal en sus servidores.
¿Cómo saber si mi computadora esta infectada?
Hay a disposición dos servicios que con solo un click a los siguientes links nos podemos dar cuenta si nuestra red de casa o trabajo esta infectada con este virus, uno es dado por el gobierno de Australia y otro un servicio general.
http://dns-ok.us/
Si es una persona que conoce más sobre computadoras a continuación muestro como podemos ver si somos usuarios de Windows o Apple.
Lo que debemos hacer es comparar si nuestra o nuestras computadoras tienen alguno de los números de servidores listados a continuación:
|
Números de Servidores DNS infectados con el Virus DNSChanger
|
|
| 85.255.112.0 hasta 85.255.127.255 | Para hacer esta comparación de los DNS de su computadora, empiece comparando el primer número antes del punto. Por ejemplo si su DNS no empiece con 85, 67, 93, 77, 213 o 64 usted puede continuar con los pasos mostrados abajo. Si su número de DNS empieza con alguno de estos números continue la comparación |
| 67.210.0.0 hasta 67.210.15.255 | |
| 93.188.160.0 hasta 93.188.167.255 | |
| 77.67.83.0 hasta 77.67.83.255 | |
| 213.109.64.0 hasta 213.109.79.255 | |
| 64.28.176.0 hasta 64.28.191.255 | |
* Los números de DNS fueron tomados de la página oficial del FBI.
Continue leyendo hacia la segunda parte de este artículo >> Click Acá <<
Sigueme en: