DNSChanger ha sido un malware muy mediático. Como es costumbre, desde
los medios generalistas se ha desinformado al usuario, y se ha puesto el
énfasis quizás en lo menos importante. Vamos a intentar destacar lo que
realmente nos parece relevante con respecto a este malware y, sobre
todo, analizar por qué el FBI ha actuado como lo ha hecho.

Todo comenzó a finales de 2011. Se volvía a poner de “moda” el malware
DNSChanger. Con titulares como “Llega un virus alta peligrosidad “DNS
Changer”” y frases como “diversos organismos de seguridad en Internet a
nivel mundial han alertado de la peligrosidad del virus DNS Changer,
[…] de difícil erradicación en los ordenadores afectados.” Se acercaba
la hora del supuesto apocalipsis. En aquel momento, nos dimos cuenta que
en VirusTotal había una especie de “revival” del mismo malware que, en
2008 era muy popular. En febrero lo comprobábamos y, 7 meses después,
vuelve a ocurrir. La mayoría de “DNSChangers” que llegan a VirusTotal en
estos momentos, ya lo hicieron en 2008.

http://3.bp.blogspot.com/-EEZ2qOnRw6w/T_wkeK92jII/AAAAAAAAApA/bGNdXuVoT2Y/s1600/DNSChanger1.png

La operación del FBI

Una vez detectados todos los servidores DNS a los que redirigía a las
víctimas, el FBI consiguió tomar el control de estas máquinas e hizo que
resolvieran a las direcciones correctas. Esto significa que eliminó el
principal objetivo del malware y que, a efectos prácticos, los usuarios
que tuvieran modificados sus DNS, no experimentaban ningún síntoma.
También les permitió conocer con cierta exactitud el número de víctimas,
puesto que solo tenían que comprobar la cantidad de conexiones DNS
establecidas en esos servidores. Pasaron de 800.000 IPs únicas
infectadas a mediados de 2011 a 250.000 el día previo al apagón.

http://3.bp.blogspot.com/-_RKXY6WpVRc/T_wktosP7oI/AAAAAAAAApI/RrHdsZh5OP8/s1600/DNSChanger2.png

Para el despliegue mediático que se ha sufrido, estas cantidades nos
parecen ridículas. Una vez más, si nos fijamos en Zeus (el malware más
popular, sofisticado a nivel de usuario, y efectivo del momento) tenemos
que Microsoft estima que en marzo de 2012 existían 13 millones de
sistemas infectados en todo el mundo. Sin duda son muchos más, puesto
que si algo tiene Zeus, es la capacidad de no ser detectado. Si a esto
unimos las infecciones de SpyEye u otras botnets, DNSChanger queda en
una anécdota.

¿Más datos? En mayo de 2011, abuse.ch publicó estas estadísticas.

http://2.bp.blogspot.com/-znWSKuhZksQ/T_wk3JXYWYI/AAAAAAAAApQ/Zvnf-GShSwM/s1600/DNSChanger3.jpg

Esta organización también toma el control de ciertos servidores usados
por los atacantes. Los llaman “sinkholes”. Son servidores a los que
acude el malware a aprovisionarse de actualizaciones o bien a dejar
datos robados. Los servidores “sinkholed” siguen respondiendo, pero
lógicamente, no con la carga maliciosa. Así, sabiendo el número de
visitas a estos sinkholes, pueden determinar el número de infectados. En
esta gráfica vemos que, en solo 24 horas, se podían observar botnets de
más de medio millón de IPs nuevas y únicas infectadas. Estos sistemas
infectados, sin embargo, no suelen ser tratados de ninguna forma ni,
mucho menos, desconectados de Internet. ¿Qué hay detrás del apagón a
DNSChanger entonces? Lanzamos algunas teorías en la siguiente entrega.
http://unaaldia.hispasec.com/2012/07/dnschanger-que-hay-detras-del-apagon-y.html

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/07/dnschanger-que-hay-detras-del-apagon-i.html#comments

Más información

How Big is Big? Some Botnet Statistics
http://www.abuse.ch/?tag=sinkhole

DNS Changer – We’ll be redirecting customers
http://exchange.telstra.com.au/2012/07/09/dns-changer-we-ll-be-redirecting-customers/

Last Day of DCWG Data
http://www.dcwg.org/last-day-of-dcwg-data/

DNSChanger, una moda… ¿de 2008?
http://unaaldia.hispasec.com/2012/02/dnschanger-una-moda-de-2008.html

Microsoft Targets Zeus Botnets With Financial Services Partners
http://www.eweek.com/c/a/Security/Microsoft-Targets-Zeus-Botnets-with-Financial-Services-Partners-544534/

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Reproducción realizada con autorización de la fuente

 

Image: FreeDigitalPhotos.net