Cómo detectar y borrar el DNS Changer

Como adelantaba en una nota titulada Internet no se apaga , el lunes último en el cuerpo principal del diario, el troyano DNS Changer ha invadido unas 4 millones de computadoras en el mundo, según cálculos del FBI, y, en eso, ha cambiado en tales máquinas las direcciones de los servidores DNS legítimos por otros que, hasta noviembre último, estaban en manos de piratas estonios.

Con el arresto de la banda y el desmantelamiento de los servidores DNS fraudulentos, las PC infectadas se habrían quedado sin poder usar Internet, por lo que el FBI instaló otros servidores DNS en su lugar. Estos, no obstante, serán dados de baja el 8 de marzo y, entonces sí, esas personas que no limpiaron el troyano de sus máquinas no serán capaces de usar la Red, aun cuando estén online. ¿Cómo es esto?

Un traductor ahí

Las bonitas direcciones que usamos en los servicios de Internet son exclusivamente para nuestros ojos. Las computadoras sólo son capaces de procesar y entender números. Por eso, a un sitio como http://twitter.com se puede llegar de una sola forma: por medio de una dirección numérica o número IP. Al cierre de esta edición, el IP de Twitter era 199.59.148.82 . El de Facebook, 66.220.158.25.

Digo al cierre de la edición porque, entre otras ventajas, el usar direcciones de fantasía en lugar de números IP hace que una organización pueda cambiar tales números de forma transparente. En rigor, hoy una página Web compleja puede estar cargando elementos de varias direcciones IP simultáneamente.

La otra ventaja, más obvia, es que no hace falta recordar dígitos que carecen de toda significación para nuestras mentes. En su lugar se usan palabras, marcas o nombres, que podemos memorizar con facilidad e incluso deducir.

Para que este sistema funcione, un servidor DNS (una computadora en el proveedor de Internet) le dice al navegador ( Firefox, Chrome, Internet Explorer, etc .) a qué número IP corresponde la dirección que hemos escrito. Es más, si usted escribe 199.59.148.82 en la barra de direcciones del navegador, se abrirá la portada de Twitter.

Ahora, si la única forma de llegar a una computadora en Internet es por medio de su dirección numérica, hay acá un pequeño problema. Bueno, no tan pequeño. Es un círculo vicioso de lo más redondo. Porque, ¿quién informa al navegador el número IP del servidor DNS?

La solución es bastante simple: la computadora sabe todo el tiempo adónde dirigirse para encontrar los servidores DNS, el dato está registrado en la configuración de los protocolos de Internet. Si modificáramos esos números, las direcciones numéricas de los servidores DNS, y pusiéramos unos que ya no funcionan, no podríamos usar Internet, no habría ningún sistema que tradujera direcciones amigables a sus correspondientes números IP.

Sí, por supuesto, todavía podríamos poner los IP de los sitios, pero sería tan engorroso que terminaría por resultar impracticable.

Más información sobre los servidores DNS, su funcionamiento y cómo optar por otros cuando los del nuestro proveedor de Internet dejan de funcionar, aquí: www.lanacion.com.ar/1404452

Internet no se apaga

Este mecanismo de traducción simultánea de direcciones humanas a direcciones numéricas por medio de servidores DNS anda muy bien, pero constituye un talón de Aquiles, como demostró el DNS Changer . Basta cambiar los números IP de los servidores DNS en la configuración de una computadora para enviar a los navegadores (y, para el caso, a los clientes de cualquier servicio de Internet) adonde el pirata quiera. Y de forma casi completamente transparente.

Para peor, y como puede deducirse, la secuela de apagar los servidores pirata es que las computadoras infectadas no tendrán quien les traduzca las direcciones amigables a números IP, y adiós Internet. Es como saber el nombre de la persona pero no tener su número de teléfono para llamarlo.

Que es lo que podría ocurrirle a unas cuantas personas el 8 de marzo, si no prospera un pedido de extensión para el período de gracia otorgado a quienes tienen sus máquinas infectadas ( http://krebsonsecurity.com/2012/02/feds-request-dnschanger-deadline-extension /)

Como puede observarse, el asunto no tiene nada que ver con que el FBI –o cualquier otra autoridad– vaya a apagar Internet. Volveré sobre esto, brevemente, al final.

Ahora vayamos a lo práctico. Si una máquina tiene o tuvo el DNS Changer , podría quedarse sin acceder a los servicios de Internet desde el 8 de marzo. Así que el primer paso es detectar al troyano.

Lo de Troya fue un paseo

Lo más simple es usar el navegador para ver si el equipo está usando los DNS fraudulentos (hoy en manos del FBI), visitando este sitio: dns-ok.us

Si el resultado es un fondo verde y la palabra GREEN , entonces está todo bien. Si el fondo sale rojo y se lee la palabra RED , el virus está o estuvo en la computadora. Luego trataré el tema de la desinfección.

Mejor que usar el navegador es mirar directamente la configuración de Internet. Si está usando Windows XP, hay que convocar un intérprete de comandos ( Inicio> Ejecutar> escribir cmd y apretar Enter ) y en la pantalla negra poner:

ipconfig /all

y apretar Enter . Sale un montón de información sobre la configuración de nuestra conexión o conexiones de red. Hay que buscar la línea Servidores DNS y comparar los valores que aparecen allí con esta tabla: http://dcwg.org/checkup2.html

También, y es un poco más fácil, se puede usar este formulario del FBI para verificar si nuestros Servidores DNS son legítimos o no: https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS

En Windows 7, la metodología es muy parecida, sólo que el comando es:

ipconfig /allcompartments /all

Si los servidores DNS están mal, existe todavía la posibilidad de que el DNS Changer no esté en esa computadora, sino que la configuración haya sido cambiada por otro equipo infectado en la red. Habrá que buscarlo, en tal caso.

Según los expertos en virus, todas las variantes del troyano modifican en las máquinas infectadas los valores de DHCPNameServer y NameServer en las claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters

y

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Services\Tcpip\Parameters

Hay que verificar, claro, que los números IP consignados allí no sean los fraudulentos por medio de la tabla mencionada antes o en el formulario online del FBI.

En rigor, otras claves de Registro son alteradas por el troyano. La lista más completa que encontré (y, de nuevo, hay que tener en cuenta que existen muchas variantes del DNS Changer ) está aquí: www.pandasecurity.com/homeusers/security-info/223197/information/DNSChanger.ALZ

Para complicar un poco más las cosas, este troyano es capaz de meterse también en el router Wi-Fi, si lo dejamos sin contraseña; un router es, en rigor, una computadora ( www.lanacion.com.ar/1232094 ).

Dada su función, en un router se pueden configurar servidores DNS para toda la red, algo que usualmente se encuentra en la primera página de las opciones del equipo. Por eso, el DNS Changer intentaba meterse allí –se la iba a perder– y poner sus direcciones pirata. Para verificar esto hay que entrar en el router y revisar las direcciones IP de los DNS. En general, no tendrán ninguna dirección configurada.

Ya sé que todo esto suena a Demótico temprano, pero con ayuda de un técnico o por las suyas, robándole un rato al domingo, conviene verificar si el DNS Changer está en su computadora o en su red. Si es así, hay que proceder a erradicarlo, porque podrían quedar unos 12 días antes de que los servidores DNS que antes estaban en manos de los piratas y ahora fueron reemplazados por equipos instalados por el FBI sean apagados.

Llamen a la artillería

Erradicar el DNS Changer es, para decirlo civilizadamente, muy complicado. No por sí mismo, que puede sacarse incluso a mano. Sino por todos los otros malware que lo suelen acompañar.

Un documento de InternetIdentity (IID; www.internetidentity.com ) llamado DNS Changer Remediation Techniques aconseja lisa y llanamente formatear y reinstalar Windows. Como el lector sabe, no es la recomendación usual y sólo se la deja para casos extremos. Bueno, ésta parece ser una de esas instancias. ¿Por qué? Porque las máquinas infectadas, cuyas consultas de DNS pasaron por servidores fraudulentos, han estado expuestas a un abundante menú de virus, troyanos, gusanos, rootkits y otras lindezas. Esto significa que los antivirus podrían estar desactivados. De no ser así, cualquier antivirus actualizado debería poder detectar y sacar el DNS Changer de la computadora.

Pero queda el problema de los otros invasores. Por las asociaciones registradas entre este troyano y diversas herramientas de ataque, IID también recomienda reconstruir el Master Boot Record del disco duro (MBR), si se verifica que el troyano infectó el equipo.

Para un administrador de redes habrá otras opciones, y va de suyo que apagar una LAN corporativa y reinstalar Windows no es un picnic. Pero si usted detecta que el DNS Changer estuvo o está en su máquina o en alguna de las máquinas de la red, habría que asegurarse de sacarlo y de expulsar al resto de su indeseable séquito. Por las buenas (por ejemplo, con el disco de rescate de un buen antivirus) o por las malas, formateando y reconstruyendo la MBR. Las instrucciones para hacer esto último en Windows XP: http://support.microsoft.com/kb/314058/es

Para Windows Vista y Seven:

http://support.microsoft.com/kb/927392/es

Internet no se apaga (reprise)

Dado el número de máquinas supuestamente infectadas, las posibilidades de que su equipo tenga el DNS Changer es bastante baja. Ahora, si alguna vez un sitio le dijo que necesitaba bajar un códec de video y después de eso surgieron advertencias de que el equipo estaba infectado con spyware y usted le hizo clic a la advertencia y se disparó un supuesto antivirus que nunca había instalado, las probabilidades de tener este troyano son bastante altas.

Habrá que hacer backup de los documentos (eso que no se puede bajar ni comprar en ninguna parte) y elegir el mejor método para limpiar el equipo.

Lo que claramente no va a ocurrir es que el FBI vaya a apagar Internet. Primero, son unos pocos servidores DNS los que están en sus manos, y no es que los hayan robado, se los secuestraron a una banda de delincuentes informáticos y, para no dejar sin Internet a una cantidad de gente, se tomaron el trabajo de poner otros, con los mismos IP, en línea.

Segundo, si apagan Internet la economía del mundo civilizado colapsa en 24 horas. Y no estamos para más colapsos, francamente. Lo último que el gobierno de cualquier nación industrializada querría hoy es apagar Internet.

Tercero, el FBI no puede apagar Internet, porque Internet no tiene un botón de apagado. A lo sumo, un gobierno (no una agencia de inteligencia por las suyas) podría cerrar los pasos digitales en un país, pero nada más.

Y cuarto, aun si el FBI pudiera (insisto, no puede) apagar la Red, tendría que pasar por encima de las jurisdicciones nacionales, lo que llevaría a conflictos mayúsculos.

Así que Internet seguirá ahí después del 8 de marzo. Excepto para aquellos que no hayan eliminado el DNS Changer y corregido las direcciones IP de los servidores DNS. Y aun en ese caso, el 9 de marzo todavía podrá pedirle a un amigo que le imprima esta columna y resolver el problema en un par de horas.