Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago  
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

El fin de DNS-Changer


  Marco       10 julio 2012 | 13:52  MSK

Comentar  

Mi colega Kurt habló sobre la “Operation Ghost Click” del FBI aquí y aquí . Esta operación ya ha llegado a su etapa final.

El próximo lunes 9 de julio, a las 06:00 (GMT), se apagarán los servidores DNS provisionales del FBI. Pero todavía hay miles de ordenadores infectados, y uno se pregunta ¿qué les pasará?

Los ordenadores tienen su propia dirección en Internet, la dirección IP. Existen dos versiones:

IPv4, que es una dirección de 32-bit, como: 195.122.169.23 e
IPv6, que es una dirección de 128-bit, como: 2001:db8:85a3:8d3:1319:8a2e:370:7347
Está claro que estas direcciones no son tan fáciles de recordar como, por ejemplo, “kaspersky.com”. Por lo tanto, se creó el “Sistema de Nombres de Dominio” (DNS) que traduce los nombres de dominio como “kaspersky.com” a sus respectivas direcciones IP para conectarlas al servidor.

El malware DNS-Changer reemplaza los servidores DNS del sistema infectado por uno suyo. Nota de prensa del FBI.

Los criminales hicieron esto porque facilita el “Secuestro de clicks”. Esta es una técnica en la que se redirige a los usuarios infectados a sitios web publicitarios de los criminales y a sitios legítimos con “reemplazos publicitarios”, en los que los delincuentes han sustituido los anuncios publicitarios legítimos por otros suyos.

Por suerte, el FBI atrapó a los criminales e instaló servidores DNS provisorios para evitar un “apagón” a la cantidad de ordenadores infectados.

Esta solución provisional se terminará el lunes, cuando se cierren los servidores. Cuando esto suceda, los equipos infectados ya no podrán descifrar los nombres de dominio para conectarse a, por ejemplo, un sitio web.

Por supuesto, si conoces la dirección del servidor puedes utilizarla en vez del nombre, como 195.122.169.23 para entrar a “securelist.com”, pero no es una solución fácil.

Nos gustaría recalcar que, a pesar de la gran cobertura que tiene este asunto, no hay que dejarse llevar por el pánico. La solución es fácil - la puedes leer abajo.

En primer lugar, es interesante recalcar que en 2012 detectamos 101.964 intentos del malware DNSChanger de infectar a nuestros usuarios.

Lo bueno es que las infecciones se bloquearon y la cantidad de intentos de infección está disminuyendo.

Por ejemplo, este mapa de la semana pasada muestra este descenso en la cantidad de intentos de infección/detecciones. Claro que los ordenadores desprotegidos o con seguridad obsoleta corren el peligro de que la detección haya pasado desapercibida.

Entonces, ¿cómo puedes saber si tu equipo está infectado con DNSChanger?

La organización DNS Changer Working Group ofrece información útil en su sitio web . Por desgracia, como mencionamos antes, los sitios web automáticos que se crearon con este fin no son 100% efectivos. Por eso, la solución manual para revisar las IP del servidor DNS es mucho mejor.

Si estás infectado, puedes cambiar tus entradas DNS por las de los servidores DNS gratuitas de Google: 8.8.8.8 y 8.8.4.4. OpenDNS también ofrece dos: 208.67.222.222 y 208.67.220.220, que también recomendamos por sus características de seguridad adicionales.

La mejor solución es, por supuesto, instalar un paquete de seguridad que pueda detectar y limpiar la infección y, además, pueda arreglar los servidores DNS.

Como muchas infecciones de DNSChanger van acompañadas de TDSS, un rootkit muy dañino, también puedes usar nuestra herramienta “Kaspersky TDSSKiller” para detectar y eliminar la infección.

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com