Search engine
- | Home
- Security
- INTECO-CERT
- Current News
- Virus
- Virus Detail
Virus Detail
Troyano que modifica la configuración DNS del ordenador infectado para redirigir al usuario a sitios web maliciosos.
Detalles técnicos
- Peligrosidad: 3 - Media
- [Explicación de los criterios]
- Difusión:
- Daño:
- Dispersibilidad:
- Fecha de alta: 07/02/2012
- Última actualización: 16/02/2012
- Nombre completo del virus: Trojan.Multi/DNSChanger@Otros
- Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
-
Plataformas afectadas: Multi: Afecta a las plataformas LINUX Linux / MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X / W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 / W64 Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003
- Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema
-
Alias:
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
- Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
- Descargarlo de algún programa de compartición de ficheros (P2P).
Las distintas variantes del virus utilizan varios métodos de propagación, por ejemplo, en ordenadores MAC utiliza métodos de ingeniería social: el atacante trata de que la víctima visualice un vídeo, al hacerlo muestra un mensaje de error que informa de que es necesario la instalación de un codec para su reproducción, pero en realidad este codec es una copia del virus, por lo que, si la víctima cae en el engaño y lo instala, quedará infectado.
Infección/Efectos
Cuando DNSChanger se ejecuta, realiza las siguientes acciones:
Otros detalles
Se han observado variantes del troyano para las plataformas Windows, Linux y Mac.
El troyano es generalmente un archivo de pequeño tamaño (cerca de 1.5 kb) diseñado para sustituir la entrada del registro 'NameServer' por una dirección IP de un servidor DNS controlado por el atacante. En otros sistemas operativos utiliza otros métodos para modificar la configuración DNS como, por ejemplo, modificar el archivo /etc/resolv.conf en Linux.
Esta dirección IP suele estar encriptada en el cuerpo del troyano. Como resultado de este cambio el ordenador de la víctima utilizará el DNS malicioso para resolver los nombres de los diferentes webservers.
Para más información puede consultar las siguientes páginas web:
Por otro lado, existen variantes que tratan de acceder al router para modificar su configuración DNS, de modo que todos los ordenadores que reciban su configuración DNS de este router mediante DHCP recibirán las direcciones IP de servidores maliciosos.
Método de Propagación
El troyano no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.
Contramedidas
Desinfección
A través de la web www.dns-changer.eu puede averiguar si su equipo está infectado comprobando si utiliza servidores DNS no legítimos y, si es así, puede desinfectarlo siguiendo las siguientes instrucciones:
Si además el equipo se encuentra conectado a un router y éste utiliza las credenciales por defecto, también debería comprobar la configuración DNS de dicho dispositivo.
