Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

  • Utiles gratuitos
  • Formación seguridad pymes
  • Gestión de incidencias
  • Suscripción RSS/Boletines

DNSChanger es un virus que modifica la configuración DNS del equipo infectado. En el siguiente artículo se explica cómo detectarlo y reparar los cambios que realiza en el ordenador.

Como comprobar manualmente si DNSChanger ha infectado el ordenador

Para comprobar si su ordenador está infectado por el virus DNSChanger puede hacerlo a través de la web www.dns-changer.eu o comprobando manualmente si los servidores DNS configurados en su PC son maliciosos.

Para verificarlo manualmente, en primer lugar, debe obtener las direcciones IP de los servidores DNS que utiliza su PC. A continuación, debe comprobar que ninguna de estas direcciones IP de los servidores DNS está comprendida en alguno de los siguientes rangos que corresponden a direcciones IP de servidores DNS maliciosos que configura DNSChanger en el ordenador infectado:

  • 85.255.112.0 - 85.255.127.255
  • 67.210.0.0 - 67.210.15.255
  • 93.188.160.0 - 93.188.167.255
  • 77.67.83.0 - 77.67.83.255
  • 213.109.64.0 - 213.109.79.255
  • 64.28.176.0 - 64.28.191.255

Aunque no estén comprendidas en estos rangos, si sospecha que pueden pertenecer a servidores DNS maliciosos o que no pertenecen a su proveedor de Internet, puede realizar una consulta whois para obtener más información sobre estas direcciones IP o consultar la web listado de servidores DNS de AdslAyuda para verificar que se corresponden con las de su ISP.

Los servidores maliciosos están controlados por el FBI e ISC por lo que devuelven las direcciones IP genuinas. Por otra parte, esto posibilita comprobar a través de la web www.dns-changer.eu si se tiene configurado un DNS malicioso.

Como eliminar DNSChanger y rehacer la configuración de red

Para restaurar su ordenador debe realizar las siguientes 4 tareas:

  • Eliminar el virus.
  • Deshacer los cambios en la configuración DNS.
  • Revisar el archivo hosts.
  • Revisar la configuración DNS del router.

Eliminar el virus

Utilice un antivirus actualizado para eliminar DNSChanger. Puede encontrar antivirus gratuitos en la sección de "Útiles Gratuitos". En el caso particular de sistemas Mac, se puede utilizar la herramienta DNSChanger Removal Tool para eliminar el virus (además de para restaurar la configuración DNS).

Deshacer los cambios en la configuración DNS

Aunque haya eliminado el virus, el antivirus no puede deshacer los cambios en la configuración DNS realizados por DNSChanger.

Puede deshacer los cambios en la configuración DNS utilizando herramientas automáticas, existentes para Windows y para Mac OS, o manualmente.

Para hacerlo manualmente debe acceder a la configuración DNS de su ordenador y sustituir las direcciones de los servidores DNS maliciosos por las que proporciona su ISP. Las direcciones de los servidores DNS de su ISP se pueden obtener:

Revisar el archivo hosts

Se han detectado variantes de DNSChager que modifican el archivo hosts del ordenador, por lo que debe comprobar que no existen entradas maliciosas en él.

Revisar la configuración DNS del router

Por último, es recomendable revisar la configuración DNS del router, ya que el virus también ha podido modificarla para servir mediante DHCP las direcciones IP de servidores DNS maliciosos.

 

Si necesita ayuda sobre este tema, puede contactar con nosotros a través del foro o a partir del formulario de gestión de incidencias.