El FBI se encuentra investigando un peligroso tipo de Malware que ya está circulando por la red hace tiempo, pero que actualmente ya ha infectado a más de medio millón de sistemas sólo en Estados Unidos. Este tipo de amenaza, la cual es detectada por ESET NOD32 como una variante de Win32/DNSChanger, tiene como objetivo principal cambiar las direcciones de los servidores DNS en los sistemas operativos de Microsoft para direccionar a los usuarios a sitios con código malicioso.
Cómo es su funcionamiento
Una vez que este malware infecta al sistema, procede a cambiar las direcciones IP de los servidores DNS de la máquina infectada. De esta manera, cuando el usuario desee acceder a algún sitio web particular, la resolución de nombres se hará mediante el servidor DNS malicioso (rogue DNS server). De esta forma se logra que los usuarios accedan a sitios no genuinos a través de direcciones URL legítimas exponiendo a los mismos al robo de credenciales, infecciones de otro tipo de malware, etc.
Este tipo de malware no solo afecta a la computadora local. Si se está en un entorno hogareño o de oficina, el malware intenta acceder al dispositivo que brinda servicio DHCP, ya sea router o access point, y mediante fuerza bruta realiza una comprobación de contraseñas por defecto para intentar acceder a dicho dispositivo. En caso de que el acceso sea exitoso, procede a modificar las direcciones de los servidores DNS para que este dispositivo utilice como servicio los rogue dns servers. Otra funcionalidad de este tipo de malware que hay que destacar, es el hecho de que intenta desactivar el software antivirus, si es que se cuenta con uno, y además procura impedir las actualizaciones del sistema operativo.
Cómo comprobar si se está infectado
Para comprobar si se está infectado, basta con comprobar las direcciones IP de los servidores DNS que figuran en el sistema operativo.
La manera más sencilla se llevar a cabo esto es:
- Abrir una consola. Para realizar esto dirigirse a Inicio --> Ejecutar, luego escribir "cmd" y presionar "enter". En el caso de Windows Vista en adelante, ir a inicio y directamente escribir "cmd".
- Una vez en la consola, escribir el comando "ipconfig /all" y presionar "enter".
- Buscar la sección donde dice DNS Servers o Servidores DNS. Las direcciones IP que allí figuran son las de los servidores DNS.
Si la dirección IP que se ingresó es indicada como maliciosa, es necesario modificar las configuraciones de red para poner nuevamente los servidores legítimos. Si bien las tasas de infecciones en Latinoamérica con este tipo de malware son relativamente bajas, desde ESET recomendamos verificar que no se esté infectado. Además, se les recuerda que contar con una herramienta de detección proactiva de malware reduce la exposición a este tipo de amenazas.
Fernando Catoira
Analista de Seguridad