DNS Changer: il malware che modifica le impostazioni DNS

Lunedì 9 Luglio 2012 si conosceranno gli effetti reali dell’infezione che colpisce milioni di utenti in tutto il mondo da un paio di anni: il malware DNS Changer è una “infezione” che si è diffusa in tutto il mondo e l’Italia è uno dei paesi più colpiti.

Il DNS è un servizio Internet che consente agli utenti di inserire l’indirizzo di un sito web e di poter vederne il contenuto: quando si inserisce un nome di dominio nel proprio web browser (ad esempio, “www.crmedia.it” che è “l’indirizzo mnemonico”), il computer contatta il server DNS del proprio provider per conoscere e convertire tale indirizzo in “indirizzo IP” numerico e quindi connettersi al sito web. Questo servizio così importante e fondamentale per poter navigare su Internet è fornito dal provider con cui ci si connette ed è impostato nella configurazione del proprio computer.

Si può quindi comprendere come dei criminali possano essere interessati a prendere il controllo dei server DNS degli utenti, per indirizzarli verso falsi siti, con lo scopo di truffarli o indurli all’acquisto per poter utilizzarne poi le carte di credito.

Grazie all’operazione “Ghost Click“, l’FBI in collaborazione con NASA-OIG e la polizia dell’Estonia è riuscita a sgominare ed arrestare un gruppo di criminali che operava per il tramite di una fantomatica azienda (“Rove Digital“), indicata come una dei top spammer nel mondo e in grado di diffondere un numero elevato di virus trojan. Rove Digital era in grado di controllare una botnet di computer infetti, alterando le impostazioni DNS e reindirizzandoli in alcuni data center situati in Estonia, New York e Chicago. L’FBI è riuscita a smantellare la rete di server DNS utilizzata dai criminali, grazie ad una rete di server temporaneamente installati. Dopo il 9 Luglio, data dopo la quale la rete di questi server verrà disattivata, i computer infetti non potranno più accedere a Internet, per cui l’FBI, in collaborazione con i principali provider delle nazioni interessate dall’infezione, ha provveduto ad organizzare un piano per aiutare gli utenti i cui computer sono infetti a modificare le impostazioni DNS in maniera corretta.

Per poter verificare che il proprio computer non sia infetto, è possibile utilizzare una soluzione più adatta agli utenti esperti, digitando alcune istruzioni da linea di comando (si possono trovare le istruzioni da seguire nei link seguenti); oppure, visitando alcuni siti web allestiti per la verifica come:

• DNS Changer Check up (per gli utenti italiani – allestito da Telecom Italia)
• DNS Changer (Anti Botnet Advisory Center)

Fonti: