El troyano DNSChanger se ha vuelto muy popular en las últimas semanas. Este programa de malware, que estaba siendo utilizado por los cibercriminales en una red botnet de más de cuatro millones de ordenadores infectados, ha sido más noticia una vez se ha desmantelado la red que mientras estaba en línea. El motivo de este súbito aumento de popularidad está en el rastro que deja en los ordenadores afectados. Al cambiar la manera en la que se conectan a la red para poder redirigir su tráfico, si se echan abajo los servidores el equipo queda sin conexión.
El caso es que el FBI desmanteló la red hace casi cuatro meses, pero ha mantenido funcionales los servidores que redirigían el tráfico de los equipos infectados para que pudieran seguir conectándose a Internet. Estaba previsto que la fecha de desconexión fuera mañana mismo, pero en el último momento las autoridades norteamericanas han decidido prolongar el funcionamiento de los servidores hasta el 9 de julio. Otros cuatro meses más que deben servir para que los usuarios limpien sus sistemas y restauren las direcciones DNS correctas.
El funcionamiento de DNSChanger es sencillo. Se cuela en el ordenador escondido en un programa aparantemente legítimo, y una vez instalado en el equipo altera las direcciones DNS (las encargadas de generar el IP del ordenador) para que el tráfico del mismo se controle a través de los servidores maliciosos. De esta manera, el usuario puede ser redirigido a páginas maliciosas a través de resultados de búsqueda falsos o por medio de páginas que saltan sin que se produzca ninguna acción por parte de la víctima.
El problema con este troyano es que no basta con limpiarlo del sistema con un programa antivirus, ya que las direcciones DNS vulneradas siguen atando la navegación en la red a los servidores maliciosos. También es necesario utilizar un programa para restaurar las direcciones DNS correctas en el ordenador. En TuexpertoIT ya te hemos contado antes cómo descubrir si tu ordenador está infectado. Existe la posibilidad de valerse de una herramienta del INTECO, aunque algunos usuarios han comentado que esta herramienta tiene errores, o bien utilizar un método manual para conocer las direcciones DNS y luego comprobarlas con una herramienta del FBI.
Luego se pueden utilizar herramientas como la que te hemos presentado en este artículo para poder restaurar las direcciones DNS originales de forma rápida (siempre tras haber borrado el troyano). En definitiva, un problema que afecta a una gran cantidad de usuarios (seguramente por eso el FBI ha decidido prolongar el mantenimiento de los servidores, a pesar del gasto que supone mantener la red maliciosa). Sería recomendable que todos los internautas revisaran por si acaso que su equipo está libre de esta amenaza a través de un antivirus, para evitar el riesgo de quedarse sin Internet a partir del 9 de julio (todo indica que el FBI no prolongará más el cierre de los servidores).
