Averigua si estás infectado con DNSChanger
El próximo 8 de marzo, el FBI apagaría los servidores que habían sido secuestrados luego de la operación contra la Botnet de DNSChanger y por lo tanto los equipos actualmente infectados, no podrán navegar. Cabe destacar que este malware no es nuevo sino que simplemente el FBI daría por finalizada la operación iniciada en noviembre de 2011 sobre un malware propagado en 2008.
Este malware procede a cambiar las direcciones IP de los servidores DNS de la máquina infectada. De esta manera, cuando el usuario desee acceder a algún sitio web particular, la resolución de nombres se hará mediante el servidor DNS malicioso (rogue DNS server). De esta forma se logra que los usuarios accedan a sitios no genuinos a través de direcciones URL legítimas exponiendo a los mismos al robo de credenciales, infecciones de otro tipo de malware, etc.
Este tipo de malware no solo afecta a la computadora local. Si se está en un entorno hogareño o de oficina, el malware intenta acceder al dispositivo que brinda servicio DHCP, ya sea router o access point, y mediante fuerza bruta realiza una comprobación de contraseñas por defecto para intentar acceder a dicho dispositivo. En caso de que el acceso sea exitoso, procede a modificar las direcciones de los servidores DNS para que este dispositivo utilice como servicio los rogue dns servers. Otra funcionalidad de este tipo de malware que hay que destacar, es el hecho de que intenta desactivar el software antivirus, si es que se cuenta con uno, y además procura impedir las actualizaciones del sistema operativo.
Si la dirección IP que se ingresó es indicada como maliciosa, es necesario modificar las configuraciones de red para poner nuevamente los servidores legítimos. Si bien las tasas de infecciones en Latinoamérica con este tipo de malware son relativamente bajas, desde ESET recomendamos verificar que no se esté infectado. Además, se les recuerda que contar con una herramienta de detección proactiva de malware reduce la exposición a este tipo de amenazas.
También existe la página http://dnschanger.eu/, un servicio gratuito para comprobar si se están usando servidores DNS "rogue" o falsos. En principio nos parecía mala idea usar un dominio para comprobar si se están usando en el sistema DNS falsos. El operador de estos servidores DNS que ha infectado tu máquina, solo tendría que redirigir, bloquear o cambiar la IP del dominio para engañar al usuario, y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de siempre: no puedes realizar operaciones concluyentes sobre si un sistema está infectado... operando desde el propio sistema.
Así, si puedes descargar esta imagen: http://85.214.11.194/images/t2logo.gif (pero resolviendo el dominio) es que estás infectado. Si no, es que en realidad estás acudiendo a http://85.214.11.194/images/t2logo.gif y por tanto no estás infectado.
Fuente: ESET Latinoamérica, FBI y Hispasec
Este malware procede a cambiar las direcciones IP de los servidores DNS de la máquina infectada. De esta manera, cuando el usuario desee acceder a algún sitio web particular, la resolución de nombres se hará mediante el servidor DNS malicioso (rogue DNS server). De esta forma se logra que los usuarios accedan a sitios no genuinos a través de direcciones URL legítimas exponiendo a los mismos al robo de credenciales, infecciones de otro tipo de malware, etc.
Este tipo de malware no solo afecta a la computadora local. Si se está en un entorno hogareño o de oficina, el malware intenta acceder al dispositivo que brinda servicio DHCP, ya sea router o access point, y mediante fuerza bruta realiza una comprobación de contraseñas por defecto para intentar acceder a dicho dispositivo. En caso de que el acceso sea exitoso, procede a modificar las direcciones de los servidores DNS para que este dispositivo utilice como servicio los rogue dns servers. Otra funcionalidad de este tipo de malware que hay que destacar, es el hecho de que intenta desactivar el software antivirus, si es que se cuenta con uno, y además procura impedir las actualizaciones del sistema operativo.
Cómo comprobar si se está infectado
Para comprobar si se está infectado, basta con comprobar las direcciones IP de los servidores DNS que figuran en el sistema operativo. La manera más sencilla se llevar a cabo esto es:- Abrir una consola. Para realizar esto dirigirse a Inicio - Ejecutar, luego escribir "cmd" y presionar "enter". En el caso de Windows Vista en adelante, ir a inicio y directamente escribir "cmd".
- Una vez en la consola, escribir el comando "ipconfig /all" y presionar "enter".
- Buscar la sección donde dice DNS Servers o Servidores DNS. Las direcciones IP que allí figuran son las de los servidores DNS.
- 85.255.112.0 hasta 85.255.127.255
- 67.210.0.0 hasta 67.210.15.255
- 93.188.160.0 hasta 93.188.167.255
- 77.67.83.0 hasta 77.67.83.255
- 213.109.64.0 hasta 213.109.79.255
- 64.28.176.0 hasta 64.28.191.255
Si la dirección IP que se ingresó es indicada como maliciosa, es necesario modificar las configuraciones de red para poner nuevamente los servidores legítimos. Si bien las tasas de infecciones en Latinoamérica con este tipo de malware son relativamente bajas, desde ESET recomendamos verificar que no se esté infectado. Además, se les recuerda que contar con una herramienta de detección proactiva de malware reduce la exposición a este tipo de amenazas.
También existe la página http://dnschanger.eu/, un servicio gratuito para comprobar si se están usando servidores DNS "rogue" o falsos. En principio nos parecía mala idea usar un dominio para comprobar si se están usando en el sistema DNS falsos. El operador de estos servidores DNS que ha infectado tu máquina, solo tendría que redirigir, bloquear o cambiar la IP del dominio para engañar al usuario, y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de siempre: no puedes realizar operaciones concluyentes sobre si un sistema está infectado... operando desde el propio sistema.
Así, si puedes descargar esta imagen: http://85.214.11.194/images/t2logo.gif (pero resolviendo el dominio) es que estás infectado. Si no, es que en realidad estás acudiendo a http://85.214.11.194/images/t2logo.gif y por tanto no estás infectado.
Fuente: ESET Latinoamérica, FBI y Hispasec
Servidor: UnKnown
ResponderBorrarAddress: 10.21.86.254
*** UnKnown no encuentra 85.214.11.194: Non-existent domain
Uff! Que cagazo! xD