Hace un tiempo atrás surgió una amenaza conocida bajo el nombre de DNSChanger que infectó a un gran número de sistemas. Este malware produce redirecciones a sitios maliciosos a partir de la modificación de los direcciones IP de los DNS de la máquina infectada. Debido al gran número de infectados que existen alrededor del planeta con esta amenaza, Google comenzó a notificar a aquellos usuarios que continúen infectados con este malware.

Ya es conocido que hace un tiempo atrás el propio FBI comenzó a investigar esta amenaza que modifica las direcciones IP de los DNS de aquellos sistemas que se encuentran infectados con DNSChanger. Incluso la propia entidad norteamericana puso a disposición un sitio en el cual ingresando las IP de los DNS se puede comprobar si se el sistema está infectado o no. El 8 de marzo del corriente año fue la fecha límite, en donde supuestamente desactivarían aquellos servidores maliciosos que eran utilizados como servidores DNS. De esta forma, todos aquellos usuarios que continuaran infectados quedarían sin acceso a Internet ya que los propios servidores DNS no serían capaces de resolver los nombres de dominios (servidores dados de baja). Sin embargo, debido al gran número de infectados que todavía persisten, la fecha fue extendida hasta el día 9 de Julio del 2012.

Motivados por esta situación, Google decidió comenzar a informar a aquellos usuarios que todavía se encuentren infectados.

¿Cómo detecta Google qué un usuario continúa infectado?

En primera instancia hay que aclarar que Google no realiza ningún análisis invasivo ni exhaustivo del sistema para determinar si este realmente se encuentra infectado. La verificación simplemente comprueba desde donde proviene la petición. En la siguiente imagen puede observarse el proceso que se lleva a cabo.

Ciclo de petición para búsqueda en GoogleEspecíficamente, cuando una máquina infectada (DNS maliciosos) realiza una petición a Google para realizar una búsqueda, los servidores DNS maliciosos realizan la correspondiente consulta a los servidores de Google. Debido a que las direcciones IP de estos servidores están identificadas, si Google detecta que una petición proviene desde alguno de esos servidores maliciosos, procede a informar mediante un aviso muy visible que la computadora del usuario se encuentra infectada. Google decidió implementar este tipo de alerta debido a que, en este caso, la detección es ciento por ciento efectiva, distinto a otros casos en donde puede existir un margen de error dando lugar a falsos positivos.

Hay que aclarar que el alerta implementado por Google no reemplaza a las herramientas tales como ESET NOD32 Antivirus, las cuales cuentan con capacidad de detección proactiva permitiendo estar protegidos contra este tipo de amenazas.

Fernando Catoira
Analista de Seguridad