DNS Changer

O DNS Changer é um Trojan que foi projetado para forçar o sistema de um computador a usar servidores DNS desonestos. O DNS Changer também está sendo mencionado como o Internet Doomsday Virus, Ghost Click Malware, DNS Changer Rootkit, DNS Changer Malware, DNS Changer Trojan, DNS Changer Virus, FBI DNS Changer ou DNSChanger. Uma infecção pelo DNS Changer normalmente tem duas etapas, a fim de redirecionar o tráfego do computador infectado para esses servidores DNS maliciosos:

1. Uma infecção pelo malware do DNS Changer vai mudar as configurações do sistema do computador infectado, a fim de substituir os servidores DNS por falsos servidores DNS que pertencem aos hackers ou criminosos on-line
2. A infecção pelo malware do DNS Changer tentará obter acesso a outros dispositivos de rede do computador infectado (tal como um roteador ou um gateway). Usando senhas padrão comuns para esse tipo de dispositivo, a infecção pelo malware do DNS Changer tentará substituir os servidores DNS do ISP pelos seus próprios servidores DNS relacionados às atividades criminosas.

Enquanto a primeira etapa afetará somente o sistema de um computador específico, a segunda etapa afetará todos os computadores na rede do computador infectado, colocando-os sob o risco de serem infetados por outras ameaças de malware. A infecção pelo malware do DNS Changer tem sido associada a uma grande variedade de ameaças de malware, especialmente ao Trojan Zlob e o TDSS Rootkit.

O DNS Changer ou o FBI DNS Changer pode Desligar a Internet de Mais de 250.000 PCs na Segunda-Feira, 9 de Julho

Estima-se que incontáveis computadores ainda vão ser infectados pelo DNS Changer, e eles perderão toda a conexão com a Internet assim que os servidores forem desligados. Embora os servidores responsáveis pelos ataques do DNS Changer tenham sido desligados e substituídos por outros benignos na famosa operação Ghostclick, esses servidores 'seguros' serão desligados na segunda-feira. Até que esse desligamento ocorra, você pode não ver qualquer sintoma de uma infecção pelo DNS Changer, uma vez que muitos dos ataques feitos pelo DNS Changer foram neutralizados através da substituição em massa de servidores pelas autoridades.

Felizmente, vários sites divulgaram instruções para proteger os PCs infetados pelo DNS Changer, e mecanismos de busca populares e sites de redes sociais exibiram mensagens avisando quais os computadores que seriam infectados pelo DNS Changer. Os especialistas em malware do ESG observaram também a presença crescente de sites que foram concebidos explicitamente para verificar a presença do DNS Changer em um determinado computador, embora você deva ter cuidado para não confundir esses sites com sites que distribuem falsos softwares de segurança através de digitalizadores de sistema fraudulentos. O Dcwg.org é um exemplo de apenas um dos muitos sites respeitáveis que dedicam-se especificamente a erradicar o DNS Changer.

Embora possa não haver nenhum sintoma de uma infecção pelo DNS Changer, os especialistas de malware do ESG avisam sobre uma grande probabilidade dos seguintes problemas:

• Um enfraquecimento geral do seu PC, incluindo as atividades de navegação na rede ficando lentas.
• Programas de segurança deficientes, particularmente anti-vírus e anti-malware digitalizadores. Você também pode ver falsos pop-ups que fraudulentamente vão avisa-lo sobre estes programas estarem infectados. Os pesquisadores de malware do ESG também enfatizam que esse problema coloca o seu PC sob um risco excepcional de ser atacado por outras ameaças.

Embora vários governos, prestadores de serviços de Internet, empresas de notícias e as organizações de segurança da Internet tenham colaborado para tentar pôr fim às infecções pelo DNS Changer (que estão diminuindo rapidamente no momento em que este artigo foi escrito), as autoridades ainda estimam que mais de duzentos e cinqüênta mil PCs serão afetado pelo apagão da Internet na segunda-feira, conforme explicado no vídeo abaixo.

A data marcada para o desligamento do servidor é no dia 9 de julho, as 12:01 da manhã (horário de Brasília), e se você acredita que o seu computador pode estar infetado pelo DNS Changer, você deve agir para desinfetar o seu PC com um programa anti-malware adequado, antes que seja tarde demais. Procedimentos anti-malware padrões, tais como a inicialização do seu PC usando um equipamento de mídia removível, também podem ajudá-lo a desabilitar o DNS Changer e outras ameaças de PC se você achar que seu software de segurança está sendo bloqueado.

Embora esse apagão da Internet tenha recebido muita atenção dos noticiários, os pesquisadores de malware do ESG podem apresentar um raio de esperança nesse cenário sombrio: os ataques do DNS Changer não estão causando danos permanentes aos computadores, sob circunstâncias normais. No entanto, você pode precisar reparar as configurações de DNS do seu sistema operacional usando o CD original para recuperar o acesso completo à Internet.

Reconhecendo uma Infecção pelo DNS Changer no Seu Computador ou na Rede

De acordo com os pesquisadores de segurança do ESG, a melhor maneira de certificar-se de que o sistema do seu computador ou o roteador não foi atingido por uma invasão pelo malware do DNS Changer é contratar os serviços de um profissional qualificado. No entanto, você pode descobrir se o sistema do seu computador está usando os servidores DNS corretos, verificando as configurações do servidor DNS do seu computador. Se você suspeitar que as configurações de DNS do seu roteador foram alteradas, também é importante verificar as configurações do seu roteador. Os pesquisadores de segurança do ESG recomendam consultar o manual do proprietário do sistema operacional do seu roteador ou obter mais detalhes sobre como verificar as configurações do servidor DNS.

Embora ter o seu computador direcionado para falsos servidores DNS seja perigoso, o DNS Changer é particularmente perigoso devido as ameaças de malware a ele associadas. Se o seu computador estiver infectado, provavelmente todas as atualizações de segurança pararam. Também é possível que o seu software anti-malware já esteja bloqueado ou desabilitado. Isso aumenta exponencialmente a probabilidade de ser atingido por outras infecções. Os pesquisadores de segurança do ESG recomendam usar um programa anti-malware legítimo para remover uma infecção pelo DNS Changer, bem como possíveis ameaças a ele associadas. Também é importante verificar as suas contas on-line bem como os seus demonstrativos de cartão de crédito para certificar-se de que as suas informações pessoais e a sua segurança não foram comprometidas.

Como Procurar Manualmente por Servidores DNS Desonestos e pelo Malware do DNS Changer no Windows

Abaixo estão duas opções que você pode usar para conseguir informações detalhadas sobre o seu IP e identificar se o seu computador está usando DNSs desonestos.

#1 Opção para o Windows: Usar o site do FBI para verificar se seu computador foi afetado pelo DNS Changer

1. Vá para o Menu Iniciar.
2. Digite cmd na caixa Iniciar Pesquisa e pressione Enter.
3. Digitar ipconfig/all no Prompt de Comando e pressione Enter.
4. Localize e copie o endereço de IP ao lado do título dos servidores DNS e digite esses números, exatamente como você os vê, no formulário que você encontra em: https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS. Depois que o endereço de IP for preenchido, o site do FBI vai identificar o endereço DNS para determinar se ele está sendo desligado ou não.

#2 Opção para o Windows: Execute o Ncpa.cpl para verificar se a sua máquina foi infectada pelo vírus do DNS Changer

1. Execute o aplicativo ncpa.cpl digitando-o na caixa Executar dentro do Menu Iniciar ou digitar ncpa.clp na caixa do 'Pesquisar Programas ou Arquivos' do Menu Iniciar. Pressione Enter.
2. Clique com o lado direito do mouse no ícone Conexão de área Local e selecione Propriedades para entrar na página Propriedades do Interface de rede .
3. Clique uma vez sobre o item Protocolo da Internet (TCP/IP). Clique em Propriedades.
4. Verifique se o item 'Usar o seguinte endereço de servidor DNS' está definido. Tome nota do seu status e endereço de IP.
5. Compare o seu endereço de IP com a lista de IPs mal-formados fornecida pelo FBI:
   • De 85.255.112.0 até 85.255.127.255
   • De 67.210.0.0 até 67.210.15.255
   • De 93.188.160.0 até 93.188.167.255
   • De 77.67.83.0 até 77.67.83.255
   • De 213.109.64.0 até 213.109.79.255
   • De 64.28.176.0 até 64.28.191.255

   Se o seu endereço de IP estiver dentro de qualquer um dos IPs listados acima, você pode estar infectado pelo malware do DNS Changer e ser atingido pelo desligamento do servidor do FBI.

Se você for capaz de obter automaticamente um endereço de servidor DNS, você pode substituir o seu DNS para usar o DNS público do Google.

IPs do servidor DNS gratuito do Google:

• 8.8.8.8
• 8.8.4.4

Abra a opção de servidor DNS gratuito:

• 208.67.222.222
• 208.67.220.220

Como Procurar Manualmente o Malware do DNS Changer no Mac

Para verificar se o seu endereço de IP faz parte dos endereços DNS malformados, execute as seguintes etapas no seu computador Mac:

1. Clique no menu Apple.
2. Selecione Preferências do Sistema.
3. Clique em Rede.
4. Localize e clique a conexão (aparece em verde).
5. Clique em Avançado.
6. Clique na tecla DNS.
7. Copie o endereço de IP na caixa Servidores de DNS e digite-o no site do FBI: https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS.

   Depois que o endereço IP for preenchido, o site do FBI irá encontrar o endereço DNS para ver se ele está sendo desligado ou não.

Se você for capaz de obter automaticamente um endereço de servidor DNS, você pode substituir o seu DNS por um DNS público do Google.

IPs do servidor DNS gratuito do Google:

• 8.8.8.8
• 8.8.4.4

Abra a opção de servidor gratuito de DNS:

• 208.67.222.222
• 208.67.220.220

Como Corrigir Manualmente as as Configurações do Servidor DNS

Você pode redefinir manualmente as suas configurações DNS através de um DHCP. Se você estiver conectado a um provedor de serviços da Internet ou a uma rede corporativa que permita configurações automáticas de DNS, você pode seguir os passos abaixo para redefinir a sua configuração.

Por favor note: Esses passos são para usuários avançados de PC. Não é aconselhável que usuários que não estão familiarizados com o registro do Windows ou com as configurações de rede personalizada utilizem este procedimento.

1. Fazer o backup de suas configurações de rede usando o Editor de Registro para fazer uma cópia no HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP
2. Execute o ncpa.cpl na caixa Iniciar Executar do menu ou na caixa Pesquisar.
3. Uma vez que as Conexões de Rede aparecerem, clique com o lado direito do mouse na sua conexão de rede ativa. Clique em Protocolo da Internet (TCP/IP) uma vez e, em seguida, clique em Propriedades.
4. Selecione o dial onde diz 'Obter automaticamente o endereço do Servidor DBS'.
5. Clique em OK e depois OK novamente.

Como Evitar o Malware do DNS Changer

Não há nenhuma garantia sobre a prevenção de uma infecção pelo malware do DNS Changer por qualquer método específico. No entanto, você pode seguir as nossas dicas de prevenção recomendadas para ajudar a evitar o malware do DNS Changer no futuro.

• Bloqueie e monitore os sistemas de rede que tentam acessar um dos servidores DNS desonestos.
• Crie regras personalizadas de registro para proteger chaves de registro específicas. Antes de alterar as chaves, certifique-se de ter marcado o 'Obter automaticamente o endereço do servidor DNS' no Protocolo da Internet (TCP/IP), encontrado na janela Propriedades. As seguintes chaves de registro podem ser editadas por uma Regra de Proteção de Acesso, para protegê-los:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP\PARAMETERS\DHCPNAMESERVER = {Value Specified}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP\PARAMETERS\NAMESERVER = {Value Specified}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP\Parameters\Interface\{YOUR CLSID}\DHCPNAMESERVER

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\TCPIP\Parameters\Interface\{YOUR CLSID}\NAMESERVER

SpyHunter detecta e remove DNS Changer