En alguna ocasión os hemos mencionado aquel malware que redirigía a los usuarios a páginas maliciosas sin que éstos lo supieran. DNSChanger fue desmantelado hace ya bastantes meses y originalmente los servidores DNS maliciosos serían desconectados en marzo, si bien el plazo se prorrogó hasta este lunes. Y será este lunes cuando los usuarios que aún sigan usando esos servidores DNS no podrán seguir navegando hasta que configuren otros.

Recordemos que los servidores DNS son, grosso modo, algo así como la guía telefónica de Internet: cuando nosotros tratamos de acceder a una página utilizando su nombre de dominio (www.genbeta.com en este caso) los servidores DNS nos devuelven la dirección IP del servidor donde se encuentra almacenada; para este caso, 94.127.75.120.

Y lo que hacía DNSChanger es configurar silenciosamente en nuestras máquinas unos servidores DNS maliciosos para que los utilicemos en lugar de usar los servidores DNS que nos facilita nuestro ISP (o los que hayamos elegido nosotros). El propósito era tratar de robar información o mostrar anuncios. Lo llamativo es que era un tanto difícil darse cuenta de la infección, sobre todo para los más novatos en temas informáticos. DNSChanger afecta a Windows, Linux y OS X. Otra peculiaridad es que no se extiende por sí mismo: la ingeniería social ha sido su gran aliada.

Podéis comprobar con apenas un click si estáis infectados o no; tan sólo necesitáis acceder a la Web habilitada por el INTECO para ello. Si estáis infectados el procedimiento a seguir es el siguiente:

1. Eliminar el virus. Cualquier antivirus gratuito os hará el apaño. Os pongo dos ejemplos: para Windows podéis descargar Microsoft Safety Scanner, y para OS X, MacScan.
2. Deshacer los cambios en la configuración DNS del equipo infectado; ya en su momento os mostramos que cambiar los servidores DNS que utilizamos en nuestro ordenador no es especialmente difícil.
3. Revisar el archivo HOSTS, dado que algunas variantes lo alteraban. Podemos usar herramientas como Host Handler, si bien puede ni ser necesario: el archivo HOSTS es de texto plano y bastante legible.
4. Revisar la configuración de nuestro router para que dejen de servir vía DHCP los servidores DNS maliciosos, dado que algunos modelos también son vulnerables. Si seguís infectados tras hacer los tres pasos anteriores, con resetearlo a los valores de fábrica, si no queremos complicarnos la vida, debería ser suficiente.

Una vez limpiéis vuestros equipos de DNSChanger estaréis fuera del riesgo a quedaros fuera de Internet este lunes. Y si el lunes no tenéis conexión podéis ejecutar también los mismos pasos para volver a navegar por la red.

En Genbeta | Google emprende una campaña para notificar a 500.000 usuarios que están infectados por DNSChanger | Facebook ayuda en la lucha contra DNSChanger avisando si detecta la infección | “Habrá malware hasta en la televisión y el frigorífico”: entrevistamos a Shaun Cooley, ingeniero destacado de Norton
Más información | INTECO CERT (y 2) | F-Secure