DNSChanger es un troyano que afecta a ordenadores con sistema operativo Windows, Linux,Mac y algunos modelos de router, se ha convertido en una de las mayores pesadillas para los internautas e informáticos, que afecta a millones de ordenadores. Ya que se podría bloquear el acceso a Internet de millones de ordenadores a partir del ocho de marzo que es cuando el FBI tiene previsto desconectar los servidores que mantienen el servicio a los ordenadores infectados, la capacidad de conectarse a Internet. A partir de ese momento todos los ordenadores infectados que no hubieran eliminado el DNSChanger y restaurado la configuración de las DNS, quedarán sin internet.
DNSChanger como hemos dicho es un troyano que se descubrió en 2007, hace ya cinco años, es un pequeño programa ejecutable de malware con un tamaño de poco más de un KB, que llega al ordenador junto a otro archivo, aparentemente inofensivo. Una vez ha llegado al ordenador se ejecuta y procede a cambiar las direcciones DNS del sistema. El servidor DNS es el que traduce el nombre de la página web en una dirección IP. Este cambio de DNS redirige el tráfico de páginas web a servidores no legitimos controlados por ciberdelincuentes sin que el usuario se dé cuenta. Una vez se ha caído en la red de servidores no legitimos de los ciberdelincuentes, estos controlan el tráfico web del ordenador zombie del usuario víctima de esta red botnet, redirigiendo sus conexiones o búsquedas a páginas con contenido malicioso o suplantación. Con el objetivo de conseguir datos personales, bien para venderlos o para robar directamente, por ejemplo con el uso de los datos de las tarjetas de crédito, etc... Se llegó a contabilizar más de cuatro millones de ordenadores infectados en más de cien países por todo el mundo.
En noviembre de 2011, el FBI desmantelo la red de servidores no legitimos de estos ciberdelincuentes que controlaban esta red de ordenadores infectados por el DNSChanger. Deteniendo a seis personas relacionadas con esta red. Pero el problema subsiste ya que el DNSChanger lo que hace es que las direcciones DNS queden ligadas a los servidores no legitimos, y si estos desaparecen, el ordenador pierde la conexión a internet. Para evitar que todos los ordenadores infectados con el troyano DNSChanger, se quedarán sin conexión a internet, el FBI de forma provisional solicitó una orden judicial que le permitía sustituir los servidores no legitimos por otros servidores legitimos que mantienen el servicio de direcciones DNS, claro esta, sin redirigir el tráfico web a páginas con contenido malicioso. Pero la orden judicial permite hacer esto al FBI tan solo hasta el día ocho de marzo de 2012, y si no hay otra orden judicial o la prorroga de esta. El FBI desconectará los servidores y a partir de ese momento todos los ordenadores infectados que no hubieran eliminado el DNSChanger y restaurado la configuración de las DNS, quedarán sin internet.
¿Cómo podemos saber si un ordenador está infectado por el troyano DNSChanger?
Hay varios métodos y herramientas para detectar si DNSChanger ha infectado un ordenador para aquellos que cuenten con sistema operativo Windows XP o Windows 7:
Uno de ellos sería, en Windows XP, pinchamos en inicio, a continuación en ejecutar en el menú, escribimos el comando cmd, pulsamos intro y nos saldrá la consola de MS-DOS. También podemos llegar a la consola de MS-DOS a través del menú de inicio, todos los programas, accesorios y finalmente símbolo del sistema. Una vez que estemos en la pantalla de MS-DOS, escribiremos el comando ipconfig/all y pulsaremos intro. Y como respuesta aparecerán todos los datos de la configuración de nuestra conexión a internet incluido el correspondiente a la dirección del servidor DNS. En la imagen aparece remarcado dicha dirección.Ya sabemos a qué servidor DNS estamos conectados, y por tanto procederemos a consultar en la
página del FBI habilitada al efecto, si la dirección del servidor DNS que tenemos es una de las utilizadas por el troyano DNSCharger, si es asi, efectivamente el ordenador está infectado.
En Windows 7 el procedimiento es igual, pinchamos en inicio, en la barra de búsqueda rápida escribimos el comando cmd, pulsamos intro y nos saldrá la consola de MS-DOS o también en inicio, en programas accesorios y finalmente símbolo del sistema. Una vez que estemos en la pantalla de MS-DOS, escribiremos el comando ipconfig/allcompartments/all (también funciona con el comando ipconfig/all, pero para Windows 7 mejor utilizar el primer comando, pues podrían faltar datos con el segundo ) y pulsaremos intro. Y como respuesta aparecerán todos los datos de la configuración de nuestra conexión a internet, y dentro de la parte del adaptador de red Ethernet estará incluido el correspondiente a la dirección del servidor DNS. A continuación procederemos a seguir los mismos pasos que en el caso del Windows XP.
Otro modo de comprobar si el ordenador está infectado por DNSChanger es la recomendada por
INTECO, a través de la web
www.dns-changer.eu puede comprobar si su equipo está utilizando servidores DNS no legítimos. También se puede realizar comprobación de forma manual. Comprobando si las direcciones de sus servidores DNS se corresponden con alguno de los siguientes rangos de direcciones IP:
85.255.112.0 hasta 85.255.127.255
67.210.0.0 hasta 67.210.15.255
93.188.160.0 hasta 93.188.167.255
77.67.83.0 hasta 77.67.83.255
213.109.64.0 hasta 213.109.79.255
64.28.176.0 hasta 64.28.191.255
Si comprobamos que efectivamente estamos infectados por el troyano DNSChanger deberemos eliminarlo y restaurar la correcta configuración del servidor DNS.
Como eliminar DNSChanger
Para eliminar DNSChanger utilizaremos el antivirus del que dispongamos, o en su defecto podremos recurrir a una antivirus gratuíto como el
AVG o el
Avast 7, con el cual realizaremos la eliminación del malware.
Aunque se haya eliminado el virus, el antivirus no puede deshacer los cambios en la configuración DNS realizados por DNSChanger. Por tanto una vez hallamos eliminado el DNSChanger, tendremos que restaurar la configuración de las DNS, para ello podremos utilizar esta herramienta
Avira DNS-Repair Tool que es gratuita. Que restaurara los valores predeterminados del servidor DNS.
También puede hacerse manualmente para ello debe acceder a la configuración DNS de su ordenador y sustituir las direcciones de los servidores DNS no legitimos por las que proporciona su ISP. Las direcciones de los servidores DNS de su ISP se pueden obtener bien: llamando al teléfono de soporte del ISP o consultando el listado de servidores DNS de AdslAyuda.
Infección de la configuración DNS del router por DNSChanger y su restauración.
También es recomendable comprobar que la configuración DNS del router no ha sido modificada. Ya que DNSChanger también tiene la capacidad de modificar la configuración DNS del router. Para poder infectar el router el DNSChanger dispone de un listado de usuarios y contraseñas de acceso por defecto de los router más comunes, con los que puede iniciar la sesión en él y modificar los servidores DNS. Una vez hechos estos cambios los ordenadores que utilicen este router pasan a utilizar los servidores DNS no legítimos.
Para comprobar que los servidores DNS de tu router son correctos sigue los siguientes pasos, ten en cuenta que la forma de verificar la configuración puede cambiar mucho de un router a otro, si tienes alguna duda o problema consulta a tu proveedor de Internet:
Averigua la dirección IP de tu router (en la siguiente web indican como). Accede mediante un interfaz web a tu router. Para ello, en un navegador introduce http://[dirección IP del router]. Se mostrará una página web en la que te solicitará usuario y contraseña para poder entrar. Si la desconoces, contacta con tu proveedor de Internet o consulta la documentación para averiguar las credenciales de acceso. Haz click "Configuración de red >> configuración de DHCP".
Comprueba que los DNS que aparecen en este apartado no están contenidos en alguno de los siguientes rangos de servidores DNS maliciosos:
85.255.112.0 - 85.255.127.255
67.210.0.0 - 67.210.15.255
93.188.160.0 - 93.188.167.255
77.67.83.0 - 77.67.83.255
213.109.64.0 - 213.109.79.255
64.28.176.0 - 64.28.191.255
Si así es, deberás sustituirlos por los que proporciona tu ISP. Las direcciones DNS que recomienda tu ISP las puedes obtener: llamando al teléfono de soporte de tu ISP (recomendable), o consultando el listado de servidores DNS de AdslAyuda. Por último, cambia la contraseña de administración del router si todavía es la contraseña por defecto para que este problema no vuelva a pasar.
