Servidores DNS han sido modificados por el malware "troyano"DNS DANGER
MacOsx Incluído!!! JA!!..PERO, SI EN MAC NO HABÍA VIRUS?? PERO, PERO , PERO !!! Y ESTO, QUE COÑO ES? ....
Troyano DNSChanger
DNSChanger, es un peligroso troyano descubierto en el año 2007, el cual modifica, en el equipo infectado, la configuración de DNS (Domain Name System –Sistema de Nombres de Dominio-) con el fin de redirigir a sus victimas a páginas maliciosas o sitios ilegales, controlados por ciberdelincuentes que han sido atrapados por el FBI en noviembre del 2011.Durante estos años (2007/2012), el troyano ha seguido evolucionado y modificándose para evitar su detección y posterior eliminación, incluso utilizando técnicas de rootkit y entre sus nombres “alias” se encuentra llamado como: TDSS, Wareout, Alureon, TidServ, TDL4, DnsChanger.
El DNS es un protocolo utilizado en internet para asignar direcciones IP (Ejemplo: 207.46.130.108) a un nombre descriptivo (Ejemplo: www.microsoft.com). Un servidor DNS resuelve (en un modo de explicación simple) que para cada IP, le corresponde un “nombre”, que es la dirección con la que solemos manejarnos para entrar a un sitio.
¿Qué es el DNSChanger? Es un pequeño archivo de 1,5 kilobytes de tamaño que en realidad es un peligroso troyano que modifica, en el equipo afectado, la configuración de DNS con el fin de redirigir al usuario a páginas maliciosas o sitios ilegales, controladas por un atacante sin su conocimiento ni consentimiento. Este troyano está diseñado para cambiar el “NameServer” valor clave de registro a una dirección IP personalizada. Esta dirección IP se suele cifrar en el cuerpo de un troyano.
.
¿Cuándo apareció DNSChanger? Fue descubierto por primera vez en 2007 y desde ese momento ha infectado al menos a cuatro millones de equipos informáticos en cien países distintos. Sólo en Estados Unidos se cifra en 14 millones de dólares la cantidad económica robada. Según el FBI la organización detrás de DNSChanger logró conseguir la red de cibercrimen más grande hasta ahora conocida. Fue desmantelada en noviembre de 2011.
.
¿Quiénes son los infectados? El troyano afecta a sistemas Windows, Mac OS o Linux ya que aprovecha el navegador web no una vulnerabilidad del sistema operativo. Además de ordenadores, algunos routers también se ven infectados. Algunas direcciones IP hostiles utilizadas por DNSChanger son:
64.28.176.1 – 64.28.191.254
67.210.0.1 – 67.210.15.254
77.67.83.1 – 77.67.83.254
85.255.112.1 – 85.255.127.254
93.188.160.1 – 93.188.167.254
213.109.64.1 – 213.109.79.254
.
¿Por qué no es fácil de eliminar este troyano? Una de las consecuencias de la desactivación de los servidores maliciosos por el FBI, es que los equipos afectados perderán su capacidad de navegación en Internet y otros servicios como el correo electrónico, al eliminarse estas DNS ilegítimas, pero básicas para su funcionamiento.
.
¿Por qué el 8 de marzo de 2012? Después del desmantelamiento del botnet en noviembre, el FBI obtuvo una orden judicial para controlar los servidores ilegítimos y mantener temporalmente la red. La orden judicial termina el 8 de marzo y al menos que se prorrogue dicha orden, la red será apagada y las computadoras con esas DNS no serán capaces de acceder a Internet.
.
¿Cómo comprobar si estamos infectados? Cualquier software de seguridad instalado en tu equipo es capaz de detectar la infección. Otra forma más rápida de comprobación es mediante esta herramienta llamada: “DNSChanger-Check” proporcionada por el Centro de alerta anti-botnet alemán en colaboración con el Instituto español de tecnologías de la Comunicación (INTECO).
.
¿Qué hago si estoy infectado? Puedes desinfectar tu equipo mediante estas instrucciones proporcionadas por la Oficina de Seguridad del Internauta y mediante soluciones gratuitas. Recuerda que aunque elimines el virus debes restaurar una configuración de DNS legítima, tanto en la configuración de red del sistema operativo de tu ordenador como en la del router.
.QUE PASA EL 8 DE MARZO? EN ESPAÑA, TAMBIÉN, SO LUSERS !! :p
El próximo 8 de marzo se apagarán los servidores DNS que las autoridades mantienen para dar servicio a los miles de equipos que continúan afectados por el troyano DNS Changer. Para facilitar su detección, INTECO-CERT presenta una herramienta que comprueba el estado de los DNS utilizados por nuestro ordenador.
DNS Changer fue diseñado para, una vez dentro del equipo infectado, cambiar los servidores DNS del sistema operativo por unos propios, en manos de la red que controla el troyano. El segundo paso es acceder al router, probando credenciales por defecto, para cambiar la configuración DNS de forma que cualquier ordenador conectado a la red local utilice los DNS fraudulentos. Otra variante de este ataque afecta a algunos modelos de router Comtrend de Movistar.
Durante años, los creadores del troyano se han estado beneficiando de los ingresos publicitarios procedentes de las páginas web a las que dirigían a los usuarios los DNS bajo su control. Desde el pasado 8 de noviembre, tras la intervención del FBI, estos servidores son mantenidos por las autoridades, ya que aún hay miles de equipos infectados que dependen de ellos. Serán clausurados finalmente el próximo 8 de marzo.
Para facilitar la detección de equipos afectados, el centro de respuesta a incidentes de seguridad de INTECO ha puesto en marcha la versión en castellano de la web dns-changer.eu, desde donde cualquier usuario puede realizar una rápida comprobación de sus servidores DNS, verificando que no emplea los introducidos por DNS Changer.
Si el resultado de la prueba es positivo, puedes seguir estos pasos para restaurar el sistema.
No obstante los chicos de InfoSpyware están más "al loro" de todo que muchos organismos juntos .. os invito a que os paseís de vez en cuando por su foro... :p
Maquiavelo
... los de Mac, que se vayan preparando .. que Safari y los Man in the Middle
(MITM) a la cache Arp o envenamiento de la misma para saltarme el Firewall "si" o "si"(ARP POISONING), sigue siendo igual para cualquier sistema, redes son redes .. y "me burlo" cualquier Firewall que intente proteger a un Mac .. lo queraís ver o no .. y si no lo que reís ver es que soís más tontos que "pichote" ... !!!