X

Cómo detectar y reparar una máquina infectada con DNSChanger

Mañana 9 de julio, el FBI cerrará una red de servidores DNS de la que muchas personas han estado dependiendo para la adecuada conexión a Internet. Estos servidores originalmente fueron parte de una estafa mediante la cual una organización criminal de Estonia elaboró y distribuyó un paquete de malware llamado DNSChanger, pero que el FBI confiscó y convirtió en un servicio de DNS legítimo.

Sin embargo, esta estafa malware se ha generalizado lo suficiente que incluso terceras empresas como Google y Facebook y un número de proveedores de Internet como Comcast, COX, Verizon y AT&T se han unido en el esfuerzo para ayudar a eliminarlo mediante la emisión de notificaciones automáticas a los usuarios cuyos sus sistemas están configurados con la red DNS pirata.

Si recientemente has recibido una advertencia cuando se realizas una búsqueda en Google, navegas por Facebook, o cualquier otro uso de la Web que diga que tu sistema puede estar comprometido, entonces podrías considerar la adopción de algunas medidas para revisar tu sistema y detectar la presencia del malware. Esto puede hacerse de varias maneras. En primer lugar se puede comprobar la configuración de DNS en el sistema para ver si los servidores que utiliza tu equipo son parte de la red DNS pirata.

En los sistemas Mac, abre la opción de Red en las preferencias del sistema y para cada servicio de red (Wi-Fi, Ethernet, Bluetooth, etc.), selecciona el servicio y luego haga clic en el botón «Avanzado». Selecciona la pestaña «DNS» y tomando nota de los servidores DNS en la lista. También puedes hacer esto en la Terminal con sólo ejecutar el siguiente comando:

networksetup -listallnetworkservices

Después que este comando se ejecute, ejecutar el siguiente comando con cada uno de los nombres de la lista (asegúrate de quitar cualquier asterisco por delante de los nombres, y asegúrate que los nombres están entre comillas si hay espacios en blanco):

networksetup -getdnsservers "SERVICE NAME"

Repite este comando para todos los servicios mencionados (especialmente conexiones Ethernet y WiFi) para enumerar todos los servidores DNS configurados.

En una máquina con Windows (incluidas algunas que puedan estar instalados en una máquina virtual), puedes abrir la herramienta de línea de comandos (seleccione «Ejecutar» en el menú Inicio y escriba «cmd», o en Windows 7 seleccione «Todos los programas» y luego elija la línea de comandos de la carpeta Accesorios). En la línea de comandos, ejecute el comando siguiente para mostrar toda la información de interfaz de red, incluyendo las direcciones IP de los servidores DNS configurados:

ipconfig /all

Una vez que tengas la lista de servidores DNS de tu sistema, entra en la página de revisión de DNS del FBI para ver si están identificados como parte de la red DNS pirata.

Ahora bien, además del método anterior, también hay un método fácil de saber si tu ordenador está infectado con DNSChanger. Hay muchos servicios Web que han surgido para poner a prueba tu sistema en busca del malware DNSChanger. Por ejemplo, el DNSChanger Working Group tiene una lista de muchos de estos servicios.

Dos de los sitios más importantes son http://dns-ok.us (Continente Americano) y http://dns-changer.eu/ (Europa). En el primer sitio, tan pronto accedes verás un cuadro verde si todo está bien y un cuadro rojo si tu sistema está infectado. En el caso del segundo sitio web, primero debes aceptar enviar la dirección IP de tu ordenador y los servidores DNS de tu equipo para ser verificados. Si estás de acuerdo, sólo tienes que darle clic en «Aceptar».

Si estas pruebas dicen que tu ordenador está limpio, entonces no tienes nada de qué preocuparte, sin embargo, si te dan todas las advertencias, entonces puedes utilizar un escáner anti-malware para detectar y eliminar el malware DNSChanger. Teniendo en cuenta que el malware se detuvo abruptamente en noviembre de 2011, ha habido tiempo suficiente para que las empresas de seguridad actualizaran sus definiciones de anti-malware para incluir todas las variantes de DNSChanger. Si tiene un escáner de malware y no lo has utilizado recientemente, entonces asegúrate de abrir y actualizarlo en su totalidad, y luego realiza un análisis completo de tu sistema. Haz lo mismo para cada PC y Mac en tu red, y, además, asegúrate de revisar la configuración de tu router para ver si la configuración de DNS no son los correctos para tu proveedor de servicio de internet o si corresponden a una configuración de DNS deshonesta.

Si el router o tu ordenador no muestra ninguna dirección de servidor DNS válida después de haber eliminado el malware, y el sistema no es capaz de conectarse a los servicios de Internet, entonces puedes intentar configurar tu sistema para utilizar un servicio de DNS público, como los de OpenDNS y Google, introduciendo las siguientes direcciones IP en la configuración de red de tu sistema:

  • 8.8.8.8
  • 8.8.4.4
  • 208.67.222.222
  • 208.67.220.220

Si el lunes ves que no puedes acceder a Internet, entonces es probable que tu sistema o enrutador de red todavía esté configurado con los servidores DNS pirata y tendrás que intentarlo de nuevo para detectar y eliminar el malware de tu sistema. Afortunadamente, el malware no es de naturaleza viral por lo que no se auto-propaga de forma automática y no vuelve a re-infectar los sistemas. Por lo tanto, una vez retirado y una vez los usuarios hayan puesto en marcha los servidores DNS válidos en sus sistemas, entonces los equipos afectados deberán tener acceso adecuado a Internet.

Esperemos que ninguno de ustedes sea afectado.

Fuente

Dómadis Cabrera: Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.
Posts Relacionados