Virusul troian DNSChanger schimbă anumite adrese la accesarea paginilor de pe Internet şi încarcă o altă pagină decât cea pe care o doreşte utilizatorul. In felul acesta pot fi accesate site-uri cu conţinut periculos pentru utilizator sau care promovează produse contrafăcute. Totul a plecat de la o companie dubioasa numită Rove Digital din Estonia. Computerele infectaţe trimit cererile de accesare a unor pagini de pe Internet către nişte servere din Estonia, ce redirecţionează traficul spre pagini suspecte.
În noiembrie 2011, poliţia estoniană, cu sprijinul FBI şi NASA-OIG, a arestat mai multe persoane implicate în distribuirea virusului DNSChanger. În urma acestei acţiuni, Internet Systems Consortium a fost obligat de un tribunal din Statele Unite să modifice adresele DNS legate de Rove Digital în termen de opt luni. Luni, 9 iulie, acel termen expiră şi adresele vor fi schimbate la nivel global. În consecinţă, peste 250.000 de calculatoare care sunt încă infectate nu vor mai putea accesa pagini de pe Internet, în ciuda faptului că au acces fizic.
FBI au anunţat că virusul de tip trojan, DNSChanger îi trimite pe utilizatori spre site-uri clonă, create pentru realizarea unor escrocherii, acestea nefiind depistabile în browserul web întrucât se prezintă sub forma unui site web de încredere. Înformaticienii FBI care au descoperit escrocheria au înlocuit serverele rău intenţionate cu unele substituente însă soluţia a fost temporară de la bun început.
Iniţial FBI au dorit să ţină aceste servere doar până la data de 8 martie, însă acesta a fost prelungit până la 9 iulie. Atunci când aceştia le vor închide, sute de mii de oameni din toată lumea ar putea rămâne fără internet.
Pentru a se proteja de un astfel de eveniment, utilizatorii de internet trebuie să verifice întâi de toate dacă computerele lor au fost infectate, lucru care se face verificând setărilede DNS ale calculatoarelor dumneavoastră. Acest lucru se poate face prin folosirea câtorva comenzi foarte simple pe calculatorul personal, fie el Mac sau PC, prezentate de realitatea.net. Puteţi verifica manual dacă PC-urile sau Mac-urile dumneavoastră au fost infectate, trebuie doar să urmaţi paşii de mai jos:
a. Windows
i. Deschideți meniul de start
ii. Selectați Run
iii. Tipăriți: cmd.exe [si apasati ENTER]
iv. În fereastra nou deschisă scrieți urmatoarea comandă: ipconfig /all [și apăsați ENTER]
v. Cautați în informațiile furnizate liniile ce conțin “DNS Servers”. De obicei acestea sunt 2 sau 3 adrese IP. Notați aceste adrese IP.
b. Apple
i. Mergeți în System Preferences
ii. Selectați Network
iii. Selectați conexiunea folosită pentru acces la Internet (uzual AirPort sau Ethernet)
iv. Selectați Advanced
v. Selectați tab-ul DNS
vi. Notati adresele IP.
c. Router propriu
Malware-ul DNSChanger este de asemenea capabil să schimbe setările DNS a anumitor routere de tip SOHO (Small Office Home Office) cum ar fi: Linksys, D-Link, Netgear și Cisco, dacă numele de utilizator și parola sunt cele implicite. Pentru a depista dacă setările DNS ale routerului dvs au fost schimbate consultați manualul routerului, secțiunea “Servere DNS”. În cazul în care serverele DNS utilizate sunt în intervalul de adrese IP de mai jos, unul din calculatoarele conectate la routerul dvs este infectat cu DNSChanger.
Oricare dintre adresele de IP de mai jos reprezintă servere cu intenţii rele:
de la 85.255.112.0 la 85.255.127.255
de la 67.210.0.0 la 67.210.15.255
de la 93.188.160.0 la 93.188.167.255
de la 77.67.83.0 la 77.67.83.255
de la 213.109.64.0 la 213.109.79.255
de la 64.28.176.0 la 64.28.191.25
În cazul în care vedeţi oricare dintre aceste IP-uri, înseamnă că computerul (sau router-ul) vostru a fost infectat.
De asemenea, pentru a vedea dacă aţi fost infectat cu trojan DNSChanger şi pentru a corecta modificările făcute de acesta, puteţi folosi un program creat de producătorul german de antivirusuri Avira,