Avisos 09 de July, 2012

Codi maliciós DNSChanger

Actualització: A data 09/07/2012 es desconectaran els servidors de rescat que es van posar en marxa per evitar que més persones fossin afectades per aquest virus.

Per a comprovar si el teu ordinador està infectat pel virus, pots accedir a la pàgina que ofereix la Fundació PuntCat http://dns-ok.cat/

 

Avís inicial: Descripció de la notícia

En els darrers dies s'ha posat al descobert una xarxa de servidors de servei de resolució de noms (DNS) falsos que ha estat utilitzada durant els últims tres anys amb l'objectiu de robar informació personal de milions de persones a tot el món. Els delinqüents cibernètics infectaven els ordinadors dels usuaris amb codi maliciós, amb l’objectiu de modificar la configuració DNS, fent així que totes les sol·licituds de continguts web eren redirigides a servidors controlats per aquests.

Recursos afectats:

Apple Mac OS X
Microsoft Windows
 Encaminadors domèstics
 

Impacte:

Infecció de la màquina, robatori d'informació sensible i frau.


Solució:


Per a saber si un ordenador o xarxa ha estat infectat, es necessari validar l’adreça de resolució de noms (DNS):
 



• Windows:
 
1.Menú Inici > Executar...
 
2.Escriure "cmd" i prémer Enter
 
3.A la finestra que s’obre (linea de comandes), escriure "ipconfig  /all".
 
4.Buscar la linea "Servidors DNS" i anotar les adreces IP (una o mes).
 



• Apple Mac OS X
 
1.Preferències del Sistema
 
2.Seleccionar Xarxa.
 
3.Seleccionar la connexió utilitzada per accedir a Internet (AirPort o Ethernet).
 
4.Seleccionar Avançat.
 
5.Seleccionar la pestanya DNS i apuntar les adreces IP configurades.
 



• Encaminadors domèstics
 
1.Consulti el manual del seu encaminador amb la finalitat de poder accedir a la configuració, i validar les adreces IP configurades al servei DNS.
 
Una vegada tenim l’adreça IP assignada al servei de resolució de noms (DNS), s’ha de comprovar si aquesta adreça està en els rangs utilitzats per l’organització criminal. El FBI ha posat a disposició dels usuaris un formulari per a comprovar automàticament, si l’adreça IP del nostre servei de resolució de noms (DNS) pertany a la xarxa de servidors falsos.
 



Es possible realitzar la verificació manualment, comparant  les adreces IP d’esquerra a dreta amb els següents rangs:
 
• 85.255.112.0 fins 85.255.127.255
 
• 67.210.0.0 fins 67.210.15.255
 
• 93.188.160.0 fins 93.188.167.255
 
• 77.67.83.0 fins 77.67.83.255
 
• 213.109.64.0 fins 213.109.79.255
 
• 64.28.176.0 fins 64.28.191.255
 



Si es valida que l’adreça IP de la DNS configurada pertany a un d’aquests rangs, significa que la màquina que la conté (o alguna màquina de la xarxa, si la adreça IP està a l'encaminador) possiblement està infectada amb el code maliciós.
 



Els diferents fabricants d’antivirus segueixen treballant per la millora de la detecció i desinfecció de las diferents famílies de malware utilitzades per l’organització criminal, algunes d’elles especialment avançades i difícils d’eliminar (Ex. Troià TDSS/TDL/Alureon, amb capacitats de rootkit i infecció del sector d’ arranc).
 



És important comprovar que l’antivirus local està actiu i actualitzat, i realitzar un anàlisi complet del sistema. En cas de que no trobi res, pot utilitzar els diferents antivirus gratuïts a la xarxa que ofereixen els principals fabricants.
 



Contactar amb CESICAT-CERT mitjançant l'adreça de correu cert@cesicat.cat per a rebre assistència per l'eliminació del codi maliciós.
 

Detall:


L’operació del FBI s’ha portat a terme amb la col·laboració de diferents organitzacions internacionals, incloent forces i cossos de seguretat d’altres països, fabricants de productes de seguretat, universitats...
 
La botnet desmantellada afectava a aproximadament 4 milions d’ordenadors, i es creu que ha estat funcionant durant 6 anys, amb un benefici estimat de mes de 14 milions de dòlars.
 



En aquesta operació, a més a més d’identificar i detenir a 7 individus presumptament responsables, s’ha desactivat una xarxa de fins a 100 servidors de resolució de noms (DNS). Per a evitar que les víctimes perdin l’accés a Internet amb el desmantellament de la xarxa, els servidors de resolució de noms (DNS), s’han substituït temporalment per servidors legítims que seran monitoritzats per a detectar i notificar els afectats.
 
El canvi de la configuració de servidors DNS, amb l’objectiu de redirigir el tràfic de l’usuari cap a servidors maliciosos es denomina "pharming". Aquesta tècnica permet a un atacant interceptar tot el tràfic que envia i rep l’usuari, i pot utilitzar-se per a múltiples finalitats: sostracció d’ informació, atacs de phishing, frau publicitari... Un dels efectes típics d’aquest  tipus d’atacs és el bloqueig de les actualitzacions del sistema i del antivirus, l’usuari queda totalment exposat a altres tipus d’infecció.
 



El malware utilitzat per aquesta organització inclou més d’una família al llarg del temps de vida de la botnet. La més recent i perillosa es el troià conegut com a TDSS, TDL o Alureon. Aquest troià te les capacitats d’ocultació avançada (rootkit), que inclou la infecció del sector de posada en marxa del disc (MBR). Aquest fet permet executar-se inclús abans de la carrega del sistema operatiu i evitar així la majoria de mesures de detecció, sobrevivint inclús a una neteja exhaustiva de l’equip.
 



El troià afecta sistemes operatius Windows com  Macintosh, es canvia l’adreça de resolució de noms (DNS) local. A més a més, el troià també intenta modificar la configuració de més d’un model de routers per casa o petita empresa,  que tinguin configurada la contrasenya per defecte.La majoria de vegades aquests dispositius son els que proporcionen l’adreça dels servidors de resolució de noms (DNS) als ordinadors de la xarxa mitjançant la configuració automàtica d'assignació d'adreces IP (protocol DHCP).
 



Alguns dels fabricants i models afectats que se distribueixen son:
 
• D-Link
 
• Linksys
 
• OpenWRT/DD-WRT
 
• A-Link
 
• Netgear
 
• ASUS ZVMODELVZ Web Manager
 
• SMC
 






Referències:
 



Informació de la operació Ghost Click publicada por el FBI.
 
http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_110911
 
Informació del FBI para usuaris afectats.
 
http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
 
Alerta i recomanacions de remei del CERT Canadenc
 
http://www.publicsafety.gc.ca/prg/em/ccirc/2011/in11-002-eng.aspx
 
Formulari FBI per a consultar les adreces DNS
 
https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS
 
Detalls tècnics al bloc de Trend Micro
 
http://blog.trendmicro.com/esthost-taken-down-%E2%80%93-biggest-cybercriminal-takedown-in-history

Publicat a: Avisos
Tags: Seguretat