DNSChanger un virus muy molesto

En Noviembre de 2011, el FBI desmantelaba una red de ordenadores zombis que actuaban como servidores de DNS fraudulentos, y el próximo 8 de Marzo ha decidido desconectar de la red estos servidores.

Esta noticia ha hecho saltar la alarma en los medios de comunicación y se han visto titulares que rayan en lo escatológico, anunciado que miles e incluso millones de ordenadores pueden quedar desconectados de Internet a partir de esa fecha o que se pueden llegar a producir “graves daños”.

Para aquellos que conozcan el funcionamiento de una red zombi y la utilidad de un servidor DNS, estas noticias ya han pasado el filtro de la exageración, pero para todos los demás usuarios, vamos a intentar aclarar un par de conceptos para que sepamos de qué hablamos.

En primer lugar quiero romper una lanza en favor del FBI. Ellos no serán culpables de ningún desastre, los únicos culpables son los que montaron la red zombi y propagaron el virus. El FBI está desactivándola y una consecuencia para aquellos que en más de tres meses no hayan desinfectado sus ordenadores puede ser que durante unas horas no tengan acceso a Internet.

En segundo lugar vamos a aclarar la utilidad de un servidor DNS (Domain Name Server) o Servidor de Nombres de Dominio. Un servidor DNS es como una gigantesca guía telefónica en la que se asocian direcciones IP públicas (por ejemplo 87.238.91.86) con una dirección URL, que son las que nosotros escribimos en los navegadores (por ejemplo www.analize.es). Esta guía tiene dos funciones. La primera evitar que tengamos que memorizar las direcciones IP de aquellos dispositivos a los que queramos acceder, y en segundo lugar el permitir que el dueño de un servicio pueda migrarlo a otro servidor (con el consiguiente cambio de IP) sin que tenga que publicarlo a todos sus usuarios. En definitiva, a un servidor DNS le pasamos una URL y nos devuelve una IP y viceversa.

Lo que habían conseguido los creadores de DNSCharger es que todo equipo infectado cambiase la configuración de acceso a su servidor DNS y fuese redireccionado a otros controlados por ellos en los que nos podían devolver direcciones IP falsas. Por ejemplo, si yo quiero acceder a mi cuenta del banco, en el navegador pondré www.mibanco.com y mi servidor DNS legal le dirá al navegador que tiene que acceder a la dirección nnn.nnn.nnn.nnn. Pero si mi equipo está infectado por DNSChanger, el servidor DNS fraudulento me ha podido decir que la dirección en la mmm.mmm.mmm.mmm en la que se ha alojado una Web con un diseño muy similar al de mibanco.com y en la que me van a pedir mi usuario y contraseña que yo escribiré con total confianza ya que me encuentro en un entorno conocido.
A partir de ese momento los delincuentes ya disponen de mis contraseñas para gestionar mis cuentas en mibanco.com, lo que implica que me puedo encontrar con una fea sorpresa financiera.

Una vez explicado esto, hemos de comprender que lo que el FBI hizo en Noviembre fue capturar estos falsos servidores DNS y convertirlos en auténticos. Es decir, aunque sigamos infectados por el virus, cuando ponemos www.mibanco.com en el navegador, podemos estar seguros de que accedemos a mibanco.com. Sin embargo, el FBI como tal no puede mantener una estructura de comunicaciones de este tipo, por razones obvias de transparencia y de competencia, por lo tanto ha fijado la fecha del 8 de Marzo para desconectarlos.

Mientras llega esa fecha, lo que todos los usuarios deben hacer es lo siguiente:

 Comprobar sus equipos y verificar que ninguno está infectado.
 En caso de que alguno esté infectado, desinfectarlo.
 Si se hubiese estado infectado, comprobar que las direcciones DNS de los ordenadores y de los routers sean correctas y en caso contrario cambiarlas por las auténticas.

Si nos preocupamos de hacer esta pequeña comprobación, el día 8 de Marzo no nos ocurrirá absolutamente nada. Pero si no hemos sido suficientemente aplicados y el día 8 de Marzo seguimos infectados, tan solo tendremos que efectuar los puntos 2 y 3 del párrafo anterior, pero con un problema: ya que no dispondremos de conexión a Internet, deberemos conseguir las herramientas necesarias en CD para poder desinfectar y configurar los equipos afectados, o bien acudir a un servicio técnico que nos haga el trabajo.