Inicio / Alerta Temprana / Avisos Seguridad / Troyano DNS-Changer redirige a páginas maliciosas

Troyano DNS-Changer redirige a páginas maliciosas

Fecha de publicación: 
16/02/2012
Importancia: 
5 - Crítica
Recursos afectados: 

Afecta a sistemas Windows, Mac, Linux y algunos routers.

Descripción: 
Troyano que modifica la configuración DNS del equipo infectado para redirigir a páginas fraudulentas. A partir del 8 de marzo el FBI cerrará los servidores DNS maliciosos que utiliza el troyano por lo que los equipos que no hayan restaurado su configuración dejarán de tener acceso a Internet.
Solución: 

A través de la web www.dns-changer.eu puede comprobar si su equipo está utilizando servidores DNS no legítimos. También puede realizar esta comprobación de forma manual. Dichos servidores DNS se corresponden con los siguientes rangos de direcciones IP:

  • 85.255.112.0 hasta 85.255.127.255
  • 67.210.0.0 hasta 67.210.15.255
  • 93.188.160.0 hasta 93.188.167.255
  • 77.67.83.0 hasta 77.67.83.255
  • 213.109.64.0 hasta 213.109.79.255
  • 64.28.176.0 hasta 64.28.191.255

Si su equipo está configurado para utilizar uno o más de los servidores listados, es muy probable que se encuentre infectado por el troyano DNSChanger. En este caso, puede desinfectarlo siguiendo las siguientes instrucciones.

Si además el equipo se encuentra conectado a un router y éste utiliza las credenciales por defecto, también debería comprobar la configuración DNS de dicho dispositivo.

Ante cualquier duda, puede solicitar ayuda a través del foro de la OSI o utilizar nuestro servicio de Soporte por Chat.

Detalle: 

Se trata de un troyano que modifica la configuración DNS para que los equipos afectados utilicen servidores DNS no legítimos y controlados por un atacante.

El servicio DNS es el encargado de traducir un nombre de dominio en una dirección IP, por lo que si esta traducción es manipulada, cuando el usuario introduce una página web en su navegador o accede a cualquier servicio a través de su nombre de dominio, en realidad puede acceder a cualquier página o servicio no legítimo sin su conocimiento ni consentimiento.

En un primer momento, DNSChanger modifica la configuración DNS del equipo infectado para cambiar los servidores DNS legítimos por servidores DNS manipulados. A partir de ahí, intenta acceder al router al que está conectado el equipo utilizando las credenciales por defecto. Si consigue el acceso, cambia los servidores DNS utilizados por el mismo por los servidores DNS no legítimos. Con este último cambio, incluso equipos que no se encuentren infectados por el troyano pero que tengan su asignación de dirección IP de forma dinámica en la LAN a través del servicio DHCP proporcionado por el propio router comprometido, también tendrán manipulada la resolución DNS.

Actualmente el FBI controla todos los servidores DNS que fueron utilizados por este troyano. Dichos servidores van a ser deshabilitados el próximo día 8 de Marzo de 2012, por lo que a partir de dicha fecha, los equipos que continúen utilizando estos servidores DNS no podrán acceder correctamente a Internet. Esto hace que sea importante que los equipos infectados sean identificados y desinfectados correctamente antes de esta fecha.

Etiquetas: