|
VSantivirus No. 1946 Año 9, sábado 5 de noviembre de 2005
DNSChanger.AL. Modifica la configuración DNS
http://www.vsantivirus.com/dnschanger-al.htm
Nombre: DNSChanger.AL
Nombre NOD32: Win32/DNSChanger.AL
Tipo: Caballo de Troya
Alias: DNSChanger.AL, DNSChanger.c, TR/DNSChanger.AL, Trojan.Win32.DNSChanger.al, Trojan/DNSChanger.AL, Win32/DNSChanger.AL, Win32/QDNS.1536!Trojan
Fecha: 4/11/05
Plataforma: Windows 32-bit
Tamaño: 1,536 bytes
Caballo de Troya que modifica la configuración de los servidores DNS del equipo infectado, de tal modo que envíe las búsquedas a un servidor de nombres malicioso con la intención de redirigir al usuario a sitios falsos, y realizar phishing.
Phishing es toda técnica utilizada para obtener información confidencial mediante la suplantación de una persona, institución legítima o falsificación de página web.
El troyano ha sido reportado en un archivo llamado "PayPal-2.5.200-MSWin32-x86-2005.exe", posiblemente enviado en forma de spam, pero podría ser descargado de cualquier sitio web malicioso, redes P2P, etc.
DNS o Sistema de Nombres de Dominio por sus siglas en inglés, es un protocolo utilizado en Internet para asignar direcciones IP (Ej.: 207.46.130.108) a un nombre descriptivo (Ej.: www.microsoft.com). Un servidor DNS o máquina de nombres, resuelve esta asociación, de tal modo que cuando el usuario escribe www.microsoft.com en su barra de direcciones, es redirigido a la máquina cuyo IP corresponde a dicho sitio (207.46.130.108 en este caso).
Al ejecutarse, el troyano no permanece en memoria, ni se copia a si mismo en el disco del equipo infectado, ni tampoco modifica el registro para autoejecutarse en próximos reinicios.
En cambio, modifica las entradas que corresponden al servidor DNS proporcionado por el proveedor de Internet que utilice el usuario, a un servidor malicioso en Rumania en la siguiente dirección
IP:
193.227.227.218
Para limpiar la infección provocada por este troyano, usted deberá modificar la configuración de los servidores DNS en Panel de control, Conexiones de red, Protocolo de Internet (TCP/IP), de la conexión utilizada (consulte a su proveedor de servicios para corroborar la dirección y/o configuración DNS necesaria para acceder a Internet).
También modifique en la siguiente entrada, cada subclave que allí exista, el valor 193.227.227.21 por el proporcionado por su proveedor:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Tcpip\Parameters\Interfaces
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|