Trojan.Win32.DNSChanger es un troyano de puerta trasera que redirige a los usuarios a varios sitios web maliciosos mediante la alteración de laconfiguración de DNS de la computadora de la víctima. Lacepa de malware fue descubierta por primera vez por Microsoft Malware Protection Center el 7 de diciembre de 2006 [1] y luego detectada por McAfee Labs el 19 de abril de 2009. [2]
Comportamiento
Los troyanos cambiadores de DNS se introducen en los sistemas infectados por otros medios de software malintencionado, como TDSS o Koobface . [3] El troyano es un archivo ejecutable de Windows malicioso que no se puede propagar a otras computadoras. Por lo tanto, realiza varias acciones en nombre del atacante dentro de una computadora comprometida, como cambiar la configuración de DNS para desviar el tráfico a dominios no solicitados y potencialmente ilegales y / o maliciosos. [2] [1]
Los sindicatos del crimen organizadoWin32.DNSChanger
utilizan el troyano para mantener el fraude de clics . La actividad de navegación del usuario se manipula a través de varios medios de modificación (como alterar el destino de un enlace legítimo para luego reenviarlo a otro sitio), lo que permite a los atacantes generar ingresos a partir de esquemas de publicidad en línea de pago por clic . El troyano se encuentra comúnmente como un archivo pequeño (+/- 1,5 kilobytes) que está diseñado para cambiar el valor de la clave de registro a una dirección IP personalizada o dominio que está encriptado en el cuerpo del propio troyano. Como resultado de este cambio, el dispositivo de la víctima se pondría en contacto con el servidor DNS recién asignado para resolver los nombres de los servidores web maliciosos . [4] NameServer
Trend Micro describió los siguientes comportamientos de Win32.DNSChanger
:
- Dirigir a los usuarios desconocidos a sitios web maliciosos : estos sitios pueden ser páginas de phishing que falsifican sitios conocidos para engañar a los usuarios para que entreguen información confidencial. Un usuario que quiere visitar el sitio de iTunes , por ejemplo, es redirigido sin saberlo a un sitio fraudulento.
- Reemplazo de anuncios en sitios legítimos : visitar ciertos sitios puede ofrecer a los usuarios con sistemas infectados un conjunto de anuncios diferente al de aquellos cuyos sistemas no están infectados.
- Controlar y redirigir el tráfico de la red : los usuarios de los sistemas infectados no pueden tener acceso para descargar actualizaciones importantes de SO y software de proveedores como Microsoft y de sus respectivos proveedores de seguridad.
- Impulsar malware adicional : los sistemas infectados son más propensos a otras infecciones de malware (p. Ej., Infección FAKEAV). [3]
Alias alternativos
- Win32: KdCrypt [Cryp] ( Avast )
- TR / Vundo.Gen ( Avira )
- MemScan: Trojan.DNSChanger ( Bitdefender Labs )
- Win.Trojan.DNSChanger ( ClamAV )
- variante de Win32 / TrojanDownloader.Zlob ( ESET )
- Trojan.Win32.Monder ( Kaspersky Labs )
- Troj / DNSCha ( Sophos )
- Mal_Zlob ( Trend Micro )
- MalwareScope.Trojan.DnsChange ( Vba32 AntiVirus )
Otras variantes
- Trojan.Win32.DNSChanger.al
- F-Secure , una empresa de ciberseguridad, recibió muestras de una variante que se denominó PayPal-2.5.200-MSWin32-x86-2005.exe . En este caso, la atribución de PayPal indicó queera probableque se produjera un ataque de phishing . [5] El troyano fue programado para cambiar el nombre del servidor DNS de la computadora de la víctima a una dirección IP en el rango 193.227.xxx.xxx. [6]
- La clave de registro afectada por este troyano es:
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\NameServer
- Otras modificaciones de registro realizadas involucraron la creación de las siguientes claves:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}
,DhcpNameServer = 85.255.xx.xxx,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{random}
,NameServer = 85.255.xxx.133,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
,DhcpNameServer = 85.255.xxx.xxx,85.255.xxx.xxx
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
,NameServer = 85.255.xxx.xxx,85.255.xxx.xxx
[6]
Ver también
- DNSChanger
- Secuestro de DNS
- Estuche Rove Digital
- Troyano Zlob
Referencias
- ^ a b "Troyano: Win32 / Dnschanger" . Inteligencia de seguridad de Microsoft . 7 de diciembre de 2006 . Consultado el 16 de enero de 2021 .
- ^ a b "Perfil de virus: DNSChanger" . McAfee . 19 de abril de 2009. Archivado desde el original el 3 de septiembre de 2017 . Consultado el 16 de enero de 2021 .
- ^ a b Cómo los troyanos cambiadores de DNS dirigen a los usuarios a las amenazas - Enciclopedia de amenazas - Trend Micro USA
- ^ F-Secure. "Troyano: W32 / DNSChanger" . Consultado el 17 de diciembre de 2018 .
- ^ Ataque de phishing afecta a los suscriptores de PayPal | V3
- ^ a b Noticias del archivo de laboratorio: enero de 2004 a septiembre de 2015
enlaces externos
- Cómo los troyanos cambiadores de DNS dirigen a los usuarios a las amenazas por TrendMicro
- FBI: Operación Ghost Click ( F-Secure )
- 'Mayor derribo por delincuentes cibernéticos de la historia' ( Brian Krebs @ krebsonsecurity.com )
- Análisis de un archivo DNSChanger en VirusTotal