domingo, 19 de febrero de 2012

Malware DNSChanger

Win32.DNSChanger VJ.Trj es un troyano que modifica en equipos infectados el servidor de nombres de dominios (DNS) en equipos con SO Windows para poder redirigir el tráfico a sitios web no deseados con código malicioso. Este tipo de Malware circula desde hace tiempo por la Red.
Cuando el malware infecta el sistema, cambia las direcciones IP de los servidores DNS de forma que cuando queremos ir a un recurso se resolverá el dominio a través del "rogue DNS Server" es decir el servidor DNS controlado por el atacante.
También intenta desactivar los antivirus y las actualizaciones del Sistema Operativo.
De esta forma estaremos expuestos a Web Spoofing, Webs de descarga de malware y cualquier destino ideado por el atacante.
El malware puede intentar acceder al dispositivo que ofrece la el DHCP como son routers o puntos de acceso intentando a través de comprobaciones de constraseñas por defecto de los dispositivo el acceso para modificar los DNS.

Algunos de los rangos del "Rogue DNS Servers" son:

85.255.112.0 a 85.255.127.255
67.210.0.0 a 67.210.15.255
93.188.160.0 a 93.188.167.255
77.67.83.0 a 77.67.83.255
213.109.64.0 a 213.109.79.255
64.28.176.0 a 64.28.191.255

Para hacer más fácil la comparación entre los DNS del computador y estos rangos es comparando el primer número de la dirección IP (formato punto decimal). Si los servidores DNS empiezan por 85, 67, 93, 77, 213 ó 64 siga comparando por el segundo número sino continúe la comparación en los dispositivos como Routers o Puntos de Acceso.

Si estamos infectados:

Podemos comprobar nuestro Servidores DNS a través de abrir una sesión de Símbolo de Sistema:

- ejecutar el comando "ipconfig -all"
- buscar en la sección de la tarjeta de conexión a Internet "Servidores DNS .  .  .  .  . " o "DNS Servers . . . "
- comprobar dichas direcciones a través de los rangos antes indicados o mediante el formulario que el FBI puso a disposición del usuario:

Chequear si estamos infectados con rogue DNS Server:

https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS

Enlace para recuperarnos de un troyano:

https://www.us-cert.gov/reading_room/trojan-recovery.pdf

No hay comentarios:

Web Statistics