O assunto DNSChanger não é novo e todos devem já saber das suas origens e implicações. Falámos já várias vezes no Pplware sobre este problema e as suas implicações.
Mas como a data marcada para o desligar finalmente chegou, é hora de, mais uma vez, vos mostrarmos como podem verificar se estão infectados e como o eliminar caso estejam a ser afectados por este problema.
Amanhã, dia 09 de Julho de 2012, o FBI vai desligar os servidores de DNS que davam suporte a este vírus e os infectados pelo DNSChanger vão ficar sem acesso à Internet.
O problema que o DNSChanger representa apenas agora se vai fazer sentir de forma mais definitiva porque o FBI resolveu que o dia 09 de Julho seria a data limite para o funcionamento dos servidores que davam suporte a esta rede maliciosa.
Estima-se que ainda existam cerca de 330.000 computadores infectados com este trojan e que a partir de amanhã vão ficar impossibilitados de aceder a sites na Internet e a usar serviços que esta disponibiliza.
O esquema montado pela rede que criou o DNSCharger conseguiu raptar o serviço de DNS em mais de 350 mil computadores e assim servir as páginas que entendiam, com a periodicidade que queriam.
A Google e o Facebook têm estado a alertar os utilizadores que detectam estar com o DNSCharger nas suas máquinas, por forma a alertar para este problema e para que os utilizadores o resolvam com a máxima brevidade, evitando que amanhã fiquem sem acesso à Internet.
Depois de descoberto este esquema e presos os seus autores, o FBI viu-se com a responsabilidade de manter estes sistemas funcionais para evitar que todos os infectados com o DNSCharger ficassem de um momento para o outro sem acesso à Internet. A data limite chegou e desta vez os servidores de DNS que sustentavam o DNSCharger vão mesmo ser desligados.
O que é o DNSChanger?
O DNSChanger é um trojan capaz de redireccionar pedidos do utilizador para sites ilícitos. Na prática, este malware tem a capacidade de alterar as configurações do DNS da nossa máquina redireccionando o utilizador para sites com fins maliciosos. Imagine por exemplo que o seu sistema está infectado por este malware, aquilo que poderá acontecer é que o utilizador ao aceder a um determinado site (ex. facebook.com) poderá ser reencaminhado para um site não solicitado e potencialmente ilegal.
Como saber se estou infectado pelo DNSChanger?
A magnitude deste problema é de tal ordem que foram criados vários serviços para dar aconselhamento aos utilizadores e para que fosse possível detectar de forma simples e rápida se os computadores estavam infectados.
O serviço de detecção mais simples de usar é prestado por várias entidades fidedignas e permite com um simples acesso mostrar se o computador em causa está infectado pelo DNSChanger.
Acedam então ao site www.dns-ok.us e vejam o resultado do teste que efectuarem. Devem ver uma imagem com o fundo verde se não estiverem infectado. Se porventura o fundo apresentado for vermelho, então o computador está com o DNS alterado e devem procurar uma solução para este problema.
Existem outros serviços que podem ser usados para verificar a existência do DNSChanger nas vossas máquinas. Estes são mantidos pelo grupo de trabalho criado para resolver o problema criado pelo DNSChanger, de nome DNSChanger Working Group. Vejam a lista abaixo e escolham o que pretendem usar:
| URL | Idioma | Mantido por |
| www.dns-ok.us | English | DNS Changer Working Group (DCWG) |
| www.dns-ok.de | German | Bundeskriminalamt (BKA) & Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| www.dns-ok.fi | Finnish, Swedish, English | CERT-FI is the Finnish national reporting point for computer security incidents and information security threats. CERT-FI is also responsible of maintaining the national information security situation awareness system. |
| www.dns-ok.ax | Swedish, Finnish, English | CERT-FI is the Finnish national reporting point for computer security incidents and information security threats. CERT-FI is also responsible of maintaining the national information security situation awareness system. |
| www.dns-ok.be | Dutch/French | CERT-BE is the primary Belgian contact point for dealing with Internet security threats and vulnerabilities affecting Belgian interests. |
| www.dns-ok.fr | French | Le CERT-LEXSI est la division de veille et d’enquête sur Internet, dédiée à la protection du patrimoine en ligne des organisations. |
| www.dns-ok.ca | English/French | Canadian Internet Registration Authority (CIRA) and Canadian Cyber Incident Response Centre (CCIRC) |
| www.dns-ok.lu | English | CIRCL (Computer Incident Response Center Luxembourg) is the national Computer Security Incident Response Team (CSIRT – CERT) coordination center for the Grand-Duchy of Luxembourg |
| www.dns-ok.nl | Dutch | SIDN (the Foundation for Internet Domain Registration in the Netherlands) |
| dns-ok.gov.au | English | CERT Australia, Stay Smart Online, and Australian Communications and Media Authority joint page on DNSChanger Information |
| dns-changer.eu | German, Spanish, English | ECO (Association of the German Internet Industry) |
| dnschanger.detect.my | Malaysian, English | Hosted by CyberSecurity Malaysia and MYCERT |
| dns-ok.jpcert.or.jp | Japanese | JPCERT/CC – Japan Computer Emergency Response Team Coordination Center |
| www.dns-ok.it | Italiano | Telecom Italia Security Operation Center – IT.TS.SOC |
Apressem-se a fazer o teste e eliminem o DNSChanger se estiverem infectados antes que os servidores sejam desligados e que fiquem sem acesso à Internet.
Estou infectado com o DNSChanger, como o posso eliminar?
O DNSChanger é um trojan como outro qualquer e pode ser eliminado com qualquer ferramenta própria para o efeito. Existem várias recomendadas pelo grupo de trabalho do DNSChanger.
São as mesmas ferramentas que na maioria dos casos podem encontrar para resolução de problemas similares e situações de infecções de vírus ou outros trojans.
Eis a lista que o DNSChanger Working Group presentou como possível de ser usada para eliminar o DNSChanger:
| Nome da ferramenta | URL |
| Hitman Pro (32bit and 64bit versions) | http://www.surfright.nl/en/products/ |
| Kaspersky Labs TDSSKiller | http://support.kaspersky.com/faq/?qid=208283363 |
| McAfee Stinger | http://www.mcafee.com/us/downloads/free-tools/stinger.aspx |
| Microsoft Windows Defender Offline | http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline |
| Microsoft Safety Scanner | http://www.microsoft.com/security/scanner/en-us/default.aspx |
| Norton Power Eraser | http://security.symantec.com/nbrt/npe.aspx |
| Trend Micro Housecall | http://housecall.trendmicro.com |
| MacScan | http://macscan.securemac.com/ |
| Avira | http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1199 (Avira’s DNS Repair-Tool) |
Escolham a ferramenta que mais vos confiança der e apliquem-na para que eliminem de vez o DNSChanger das vossas máquinas.
Se preferirem eliminar de forma manual o DNSCharger existem também informações disponibilizadas pelo grupo de trabalho do DNSChanger. Essas instruções são recomendadas apenas para utilizadores mais experientes e requer alguma experiência.
Eis a lista dos sites recomendados pelo DNSChanger Working Group:
| Guia | Como usar | Idioma |
| Microsoft’s Safety and Security Center | Portal da Microsoft para todos os guias de segurança, ferramentas e assistência. | English |
| Apple’s Security Page with pointers to keep your MAC safe | Navegar para a secção “Checking Security in your System.” Tem links para garantir que mantêm o vosso Mac o mais seguro possível. | English |
| DSL Report’s Security Cleanup FAQ | A community driven self help guide to fix malware problems on your systems. | English |
| Andrew K’s Malware Removal Guide | Andrew K is an individual who share’s his experience on-line. This guide is an often referenced guide to remediate malware problems on a computer. | English |
| Public Safety Canada’a Malware Infection Recovery Guide | O Canadian Public Safety office (publicsafety.gc.ca) tem um guia, actualizado, para a remoção de malware e é focado no apoio aos utilizadores gerais. | English |
| Australia’s Stay Smart Online Factsheet to help Remove Malware | Stay Smart Online Factsheet 11, Part 1 – Se suspeita que o seu computador está infectado com software malicioso, o que deve fazer? | English |
Não devem esquecer de salvaguardar os vossos dados mais importantes e de realizar cópias de segurança do vosso sistema antes de usar qualquer uma das ferramentas apresentadas.
Se ainda não verificaram a presença do DNSChanger nos vossos sistemas é extremamente importante que o verifiquem. Amanhã, dia 09 de Julho de 2012, o FBI vai desligar os servidores que alimentavam o DNSChanger e que estão ao seu cuidado.
Após esse desligar muitos milhares de utilizadores vão ficar impedidos de usar a Internet por não terem servidores de DNS que traduzam em ip’s os endereços que forem colocados no browser ou noutros serviços.
Estão disponíveis formas simples de resolverem este problema. Utilizem-nas para não terem qualquer percalço na vossa maquina. Espera-se que ao inicio da tarde de amanhã se comecem a sentir estes problemas.