• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / DNSChanger, una moda… ¿de 2008?

DNSChanger, una moda… ¿de 2008?

24 febrero, 2012 Por Hispasec 5 comentarios

Es inevitable. De vez en cuando, alguien lanza la voz de alarma, y se pone de «moda» alguna familia de malware, independientemente de su peligrosidad. Leemos en titulares lo que parece el apocalipsis del malware. Lo peor es sospechar que la moda es en realidad de 2008.
Con titulares como «Llega un virus alta peligrosidad «DNS Changer»» y frases como «diversos organismos de seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus DNS Changer, […] de difícil erradicación en los ordenadores afectados.» Desinforman y meten el miedo en el cuerpo, alejando al usuario de otros peligros mucho más reales y complejos. Veamos qué está pasando realmente.
Lo que llega a VirusTotal
Entendemos que lo que llega a VirusTotal es un buen indicador de qué está pasando ahí fuera. Así que buscamos por «Dnschanger» en la base de datos. Esto siempre tiene sus riesgos, puesto que la nomenclatura actual de las firmas es un absoluto desastre, y pocas veces se ponen de acuerdo. Aun así los resultados, ordenados por las veces que han llegado, son de las últimas dos semanas.
Comprobamos que unos pocos bichos de 2008-2009 han «vuelto» y han sido muy enviados en las últimas semanas. El primero, con 1.282 envíos, ni siquiera es un DNSChanger, sino un keygen para piratear un programa comercial. Así que tenemos muy pocas muestras de 2012 catalogadas más o menos de forma unánime como DNSChanger, pero sí algunas que, desde 2008, han vuelto a la «brecha» volviendo a ser muy enviadas a VirusTotal. Vamos a analizarlas un poco.
¿Se ha puesto de moda malware de 2008?
Pues eso parece. Leyendo las características de ese DNSChanger, vemos que su principal objetivo es modificar los servidores DNS en local de la máquina hacia estos rangos:
85.255.112.0 hasta 85.255.127.255
67.210.0.0 hasta 67.210.15.255
93.188.160.0 hasta 93.188.167.255
77.67.83.0 hasta 77.67.83.255
213.109.64.0 hasta 213.109.79.255
64.28.176.0 hasta 64.28.191.255
Efectivamente, analizando la muestra que más veces ha llegado en las últimas dos semanas, vemos que, tras un menú que simula ser un programa de codecs.
Termina cambiando los DNS. El programa hace poco más (crea ficheros con nombres como freebsd.exe y notepad.exe en el temporal, no sabemos bien por qué).
Ahora, con estos DNS, Google no va donde debería, por ejemplo:

Analizando estos troyanos, hemos recordado anuncios anteriores en UAD, por ejemplo
http://unaaldia.hispasec.com/2008/12/la-familia-de-malware-dnschanger.html.
Donde se hablaba de mejoras en este malware. Curiosamente, el rango de direcciones IP de los DNS falsos sigue siendo el mismo. Tras varias muestras, consigo extraer estos DNS falsos:
85.255.113.205, 85.255.112.144, 85.255.114.75, 85.255.112.212, 85.255.116.71 y 85.255.112.63.
Efectivamente, en el rango anunciado.
¿Es un «revival» de un malware antiguo?
Tampoco podemos asegurarlo totalmente, pero todo indica que más o menos es así. Buscamos en la base de datos de VirusTotal y encontramos sobre todo muestras de este tipo que modifiquen los servidores DNS de la manera que indican… así que todo apunta a que es esto lo que está ocurriendo. Aunque también puede ser que estemos hablando de malware que no está en VirusTotal, o que no hemos sabido encontrar por ese nombre… quién sabe.
Desde luego, si es el caso, este malware no es en absoluto de «difícil erradicación«… basta con cambiar los DNS locales de la máquina. Y su peligrosidad es muy limitada comparada con la sofisticación que podemos encontrar ahí fuera.
Otras curiosidades
Comprobando esto, hemos acudido a la página http://dnschanger.eu/, un servicio gratuito para comprobar si se están usando servidores DNS «rogue» o falsos. Gracias a mi compañero David García, hemos descubierto algo interesante. En principio nos parecía mala idea usar un dominio para comprobar si se están usando en el sistema DNS falsos. El operador de estos servidores DNS que ha infectado tu máquina, solo tendría que redirigir, bloquear o cambiar la IP del dominio para engañar al usuario, y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de siempre: no puedes realizar operaciones concluyentes sobre si un sistema está infectado… operando desde el propio sistema.
Intentando averiguar cómo hace la página para saber si el visitante cuenta con DNS maliciosos o no, hemos descubierto que dnschagner.eu utiliza el dominio dns-ok.de. Muchos de estos DNS «malos«, devuelven una resolución diferente a la de los «buenos» de este dominio, y ese es el criterio que parece seguir. Los DNS «buenos» resuelven a 85.214.11.195 y los malos a 85.214.11.194. El método parece consistir en conseguir la imagen alojada en dns-ok.de/images/t2logo.gif.
Así, si puedes descargar esta imagen: http://85.214.11.194/images/t2logo.gif(pero resolviendo el dominio) es que estás infectado. Si no, es que en realidad estás acudiendo a http://85.214.11.194/images/t2logo.gify por tanto no estás infectado.
Es un método curioso (y con flecos), del que todavía quedaría por averiguar los detalles. Parece que se debe «condenar» a los servidores que se saben «rogue» a resolver de forma controlada hacia otra IP… He llamado a la OSI (Oficina de Seguridad del Internauta) para ver si nos lo pueden aclarar, y estamos esperando respuesta.
Protegerse de verdad
Como siempre que hay una alerta mediática, aparecen métodos y herramientas para protegerse. En realidad el método más eficaz para evitar que algo o alguien te modifique los DNS ya está inventado: son los permisos nativos de Windows. Los datos de las interfaces de red se almacenan en el registro.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces
Si somos usuarios, no podremos cambiarlo. Si somos administradores… debemos impedirnos a nosotros mismos y a todo lo que ejecutemos que pueda modificar sus valores. Con el botón derecho sobre esa rama, cambiamos los permisosy eliminamos el «control total» sobre los administradores. Ya nadie podrá cambiar las propiedades de nuestras interfaces de red. Esto es lo más efectivo (siempre que recuerdes que lo has cambiado y reviertas la configuración cuando sea necesario).
Más información:
Llega un virus alta peligrosidad «DNS Changer»
http://www.noticiascastillayleon.com/noticia/Llega-un-virus-alta-peligrosidad–DNS-Changer/18725/11/LE
Troyano DNS-Changer redirige a páginas maliciosas
http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/troyano_dnschanger_redirige_paginas_maliciosas_20120216
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Comentarios

  1. Villaveiran dice

    25 febrero, 2012 a las 5:20 pm

    Excelente articulo SErgio, gracias por compartir la informacion (muy bueno lo de protegerse de Verdad)

    Responder
  2. Koke Laast dice

    27 febrero, 2012 a las 10:10 am

    Muy bueno el artículo, quitando hierro a tantas tonterías que se leen sobre seguridad. De todas formas no entiendo bien la imagen de Busca.Info porque la URL que aparece es http://www.googel.es: no http://www.google.es. He probado con algunos de los servidor «rogue» y el primero que me ha funcionado, 85.255.112.212, resuelve http://www.google.com correctamente. Me gustaría que me lo aclaraseis.

    Un saludo

    Responder
  3. ssantos dice

    27 febrero, 2012 a las 10:17 am

    Llevas razón. Después de tantas pruebas, quizás sea un simple error al teclear, achacado erróneamente al «rogue» DNS. Disculpad. En cualquier caso, sí que hay dominios que modifica su resolución.

    Responder
  4. Koke Laast dice

    27 febrero, 2012 a las 11:03 am

    Muchas gracias por la aclaración.

    Un saludo

    Responder
  5. marcelo.ar dice

    27 febrero, 2012 a las 11:04 pm

    Por lo que leí, el FBI tomó el control de los «rogue DNS» y los reemplazó por «DNS legítimos», de modo que aún estando infectados estos rogue DNS tendrían que resolver las direcciones correctamente sin enviar al usuario afectado a una web maliciosa. Esta claro que la captura que ponen es debido a un error de tipeo.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR