DNSChanger: ¿Qué hay detrás del apagón? - Primera Parte



vía Panda Antivirus


DNSChanger ha sido un malware muy mediático. Como es costumbre, desde los medios generalistas se ha desinformado al usuario, y se ha puesto el énfasis quizás en lo menos importante. Vamos a intentar destacar lo que realmente nos parece relevante con respecto a este malware y, sobre todo, analizar por qué el FBI ha actuado como lo ha hecho.

Todo comenzó a finales de 2011. Se volvía a poner de "moda" el malware DNSChanger. Con titulares como "Llega un virus alta peligrosidad "DNS Changer"" y frases como "diversos organismos de seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus DNS Changer, [...] de difícil erradicación en los ordenadores afectados." Se acercaba la hora del supuesto apocalipsis. En aquel momento, nos dimos cuenta que en VirusTotal había una especie de "revival" del mismo malware que, en 2008 era muy popular. En febrero lo comprobábamos y, 7 meses después, vuelve a ocurrir. La mayoría de "DNSChangers" que llegan a VirusTotal en estos momentos, ya lo hicieron en 2008.



La operación del FBI

Una vez detectados todos los servidores DNS a los que redirigía a las víctimas, el FBI consiguió tomar el control de estas máquinas e hizo que resolvieran a las direcciones correctas. Esto significa que eliminó el
principal objetivo del malware y que, a efectos prácticos, los usuarios que tuvieran modificados sus DNS, no experimentaban ningún síntoma. 
También les permitió conocer con cierta exactitud el número de víctimas, puesto que solo tenían que comprobar la cantidad de conexiones DNS establecidas en esos servidores. Pasaron de 800.000 IPs únicas
infectadas a mediados de 2011 a 250.000 el día previo al apagón.



Para el despliegue mediático que se ha sufrido, estas cantidades nos parecen ridículas. Una vez más, si nos fijamos en Zeus (el malware más popular, sofisticado a nivel de usuario, y efectivo del momento) tenemos
que Microsoft estima que en marzo de 2012 existían 13 millones de sistemas infectados en todo el mundo. Sin duda son muchos más, puesto que si algo tiene Zeus, es la capacidad de no ser detectado. Si a esto
unimos las infecciones de SpyEye u otras botnets, DNSChanger queda en una anécdota.

¿Más datos? En mayo de 2011, abuse.ch publicó estas estadísticas.



Esta organización también toma el control de ciertos servidores usados por los atacantes. Los llaman "sinkholes". Son servidores a los que acude el malware a aprovisionarse de actualizaciones o bien a dejar
datos robados. Los servidores "sinkholed" siguen respondiendo, pero lógicamente, no con la carga maliciosa. Así, sabiendo el número de visitas a estos sinkholes, pueden determinar el número de infectados. En esta gráfica vemos que, en solo 24 horas, se podían observar botnets de más de medio millón de IPs nuevas y únicas infectadas. Estos sistemas infectados, sin embargo, no suelen ser tratados de ninguna forma ni, mucho menos, desconectados de Internet. ¿Qué hay detrás del apagón a DNSChanger entonces? 


Lanzamos algunas teorías en la siguiente entrega.


http://unaaldia.hispasec.com/2012/07/dnschanger-que-hay-detras-del-apagon-y.html

Comentarios

Publicar un comentario

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Imagen
Iniciamos esta nueva categoria: Coincidencias Desafortunadas, con el post de Filemón Alonso Miranda aka @urbanitas acerca de Goidsargi Estívalis Carranza, el Ángel de Hielo . La coincidencia desafortunada fué el AdSense de Google publicitando reparación de refrigeradores, siendo que la nota hablaba de que la asesina habia mantenido por varios días los cuerpos mutilados de su ex esposo y novio. #Toing
Leer más

Oldies Web

Imagen
Muchos de ustedes tendrán años navegando en Internet; pues bien para aquellos con melancolías por las primeras webs que alguna vez visitaron, es que les paso el siguiente tip: Vía el web Internet Archive Wayback Machine es posible visualizar versiones viejas de páginas web con teclear la dirección URL y seleccionar la fecha de interés. Ello puedes hacerlo siempre y cuando, en la cache del servidor host del sitio web de interés, se siga guardando la información de la versión añeja del web. Anexo una captura de pantalla de ejemplo donde observamos cómo se veía Google! Beta en Diciembre 2 de 1998.
Leer más