Programa malicioso alterando meus DNSs

2

Algumas semanas atrás eu comecei a ter problemas com a minha conexão com a internet, foi extremamente lento e de repente alguns sites (especificamente gmail, facebook, youtube e twitter) começaram a falhar na conexão, enquanto o restante se conectou normalmente. Alguns dias depois, esses mesmos sites começaram a me mostrar uma mensagem em português: "Nova atualização disponível" sempre que eu tentava conectar e um arquivo .exe começava a ser baixado ("internet_update.exe" ou algo parecido) .

Foi quando eu me assustei! Foi definitivamente um vírus ou algo assim, mas foi muito estranho porque eu nunca tive um problema como esse (eu corro Linux). Então eu liguei meu PC antigo (rodando o Windows XP) e acabou tendo o mesmo problema! a mesma mensagem foi mostrada sempre que tentei conectar um desses sites específicos, enquanto o restante foi carregado sem problemas. Mesmo no meu smartphone smarthphone, a mesma mensagem foi mostrada.

Portanto, era óbvio que o problema não estava em uma máquina específica, mas no próprio roteador. Então eu comecei a pesquisar e encontrei alguma informação , infelizmente eu só encontrei alguns em espanhol, então vou fazer um breve resumo:

É um novo trojan bancário desenvolvido especificamente para infectar e coletar informações de bancos brasileiros. Aparentemente agora se expandiu para a Argentina e o Peru.

Então, como isso funciona? Ele se espalha através de redes sociais (vídeos, links, ...) e, em seguida, "assume o controle" de sua conexão com a Internet, alterando os valores de seus DNSs. Mais especificamente, ele altera o DNS Primário para um desses IPs: 108.170.13.38, 66.7.216.122 ou 63.143.43.154 e o DNS Secundário para 8.8.8.8, este secundário O DNS é, na verdade, o Google Public DNS , e é configurado dessa forma para que sua conexão com a Internet continue funcionando corretamente e o usuário não percebe nada.

A parte importante aqui é que, como nenhum download ou instalação foi feito em sua máquina, nenhum antivírus detectará qualquer alteração. Depois que seus DNSs forem alterados, o trojan controlará todos os sites aos quais você se conecta e, dessa forma, eles roubam suas informações bancárias.

Então, depois de ler sobre isso, acessei meu roteador e restaurei meus DNSs primário e secundário aos valores adequados, mas um dia depois tive o mesmo problema novamente.

Este é realmente um post de aviso de 50% - 50% me ajudem! postar.

Então, vem a pergunta: Existe alguma maneira possível de impedir que meus DNSs sejam alterados?

PS: Desculpe se este não é o lugar onde esta pergunta deveria ser, mas estou meio desesperada, você pode me redirecionar para o site correto?

    
por juliomalegria 06.06.2012 / 17:36

1 resposta

1

Eu não sei se isso se aplica neste caso, mas uma maneira como coisas assim podem ocorrer (raro, mas possível) é um fragmento de Flash maligno (baixado e usado pelo seu navegador sem você saber) redirecionando da sua máquina para o roteador via UPNP e reprogramar o roteador se o roteador aceitar a reconfiguração UPNP.

Mesmo antes de se tornar uma ameaça, determinei que o UPNP não era útil para mim e o desativei desde então (provavelmente 5 anos ou mais) em todos os roteadores que eu controlei, além de usar servidores DNS estáticos (OpenDNS in meu caso) em todas as máquinas que eu configuro.

    
por 11.06.2012 / 18:48