Google avisa usuários infectados com DNSChanger

O Google começou a mostrar, na terça-feira (23/05), uma mensagem indicando que o computador dos usuários de suas ferramentas estavam infectados com o malware DNSChanger. O objetivo era alertar as pessoas sobre a ameaça.

“Após obtermos sucesso ao alertar um milhão de usuários sobre um tipo diferente de malware, decidimos replicar o método. Avisaremos sobre a infecção por meio de uma mensagem especial que aparecerá no topo da página de resultados de pesquisa”, afirmou o engenheiro de segurança da companhia, Damian Menscher, em seu blog. O esforço anterior tinha como alvo alertar sobre um antivírus falso que se espalhava na rede.

“Nosso objetivo com essa comunicação é aumentar a consciência sobre DNSChanger entre os usuários afetados”, disse Menscher. Além disso, uma vez que cerca de metade dos PCs infectados parece estar localizado em países que não falam inglês, “acreditamos que avisar diretamente as vítimas a partir de um site confiável e no seu idioma preferido produzirá os melhores resultados possíveis.”

Por que a proatividade em relação a esse malware especificamente? Porque qualquer PC infectado por DNSChanger perderá o acesso à internet em 9 de julho de 2012. Essa é a data judicial acertada pela polícia norte-americana FBI e pelo Internet Systems Consortium para desligar os servidores DNS que são usados atualmente para deliberar endereços de internet para PCs infectados pela ameaça.

O FBI contratou os servidores após a “Operation Ghost Click” (em tradução livre: “Operação Clique Fantasma”), no qual trabalhou em conjunto com o departamento de polícia da Estônia para prender seis estonianos que usavam o malware há quatro anos para ganhar dinheiro. Ao todo, os criminosos receberam US$ 14 milhões.

Para cometer a fraude – forçando um navegador da web a “clicar” em certos anúncios, gerando receita de redes de pay-per-impression ou taxas de referência – os criminosos usaram seu malware para alterar as configurações de DNS no PCs infectados e ligá-los aos seus próprios servidores DNS, criando botnets. Mesmo depois da prisão dos operadores de os PCs infectados ainda contavam com os servidores DNS para acessar nomes de domínio em endereços IP.

Impacto

Para quem teve o PC infectado, em 9 de julho, quando o servidor DNS for desligado, a consequente perda de conectividade pode não ser fácil de diagnosticar. “Em termos simples, a conectividade não será cortada para sistemas infectados com DNSChanger, mas as comunicações via internet não funcionarão”, explicou Kurt Baumgartner, pesquisador sênior de segurança da Kaspersky Lab.

“Nos Estados Unidos, as agências governamentais, usuários domésticos, e outras organizações ainda infectados com o malware terão sistemas que efetivamente não pode ficar online, não é possível enviar e-mail, e realizar outras tarefas. Os computadores que  estão conectados à rede simplesmente não vão se comunicar com qualquer coisa.”

O esforço do Google de divulgação, por si só, é claro, não vai resolver esse problema de infecção de malware. “Enquanto esperamos notificar mais de 500 mil usuários dentro de uma semana, percebemos que não chegaremos a todos os usuários afetados”, disse Menscher. Ainda assim, a redução do número de infecções vai ajudar. “Se mais dispositivos são limpos e são tomadas medidas para melhor proteger as máquinas contra o abuso demais, o esforço de comunicação terá valido a pena”, encerrou.

Saiba mais:

Anonymous Vs. sistema DNS: lições para a TI corporativa

Hacktivistas se voltam para roubo de DNS