El FBI está realizando una operación de limpieza y erradicación del virus Troyano DNSChanger.
Esta clase de malware infecta equipos, cambiando sus parámetros de DNS, y redirigiendo al usuario a páginas maliciosas o fraudulentas.
Los servidores de DNS se utilizan para traducir la URL introducida por el usuario en la IP pública correspondiente. Si Se hace la consulta a un DNS malicioso, la URL se traducirá con la IP pública de un site malicioso especialmente diseñado por el atacante.
El próximo 8 de Marzo, el FBI procederá al cierre del servidor DNS malicioso que configura el virus en los ordenadores infectados, por lo que todos aquellos usuarios con el virus en ejecución se quedarán sin acceso a la red (no tendrán traducción de URLs a IPs públicas).
Para subsanar el problema, hay que desinfectar la máquina, de tal forma que nos aseguremos que las peticiones irán a un servidor DNS de confianza. Para ello, se puede realizar un análisis bajo demanda, utilizando una protección Antimalware con el fichero de firmas actualizado.
Una vez se desinfecte el equipo, se podrá configurar un DNS público en los parámetros de red, u obtener uno mediante DHCP.
Es necesario re-aplicar la configuración de red, ya sea reiniciando el controlador de red, o realizando algún cambio en la configuración que implique la re-aplicación del mismo. Al no ejecutarse el virus, las peticiones serán resueltas ahora de forma veraz, y se habrá solventado el problema.
No es necesario esperar al día 8 de Marzo para verificar si el equipo está infectado (se quedará sin navegación).
Todo usuario puede comprobar si su equipo está infectado desde la página: www.dnschanger.eu.
Áudea Seguridad de la Información .
José Francisco Lendínez
Departamento de Seguridad TIC.