Прошло более двух месяцев с тех пор, как федеральные органы США разоблачили аферу DNSChanger, но компьютеры в половине корпораций из списка Fortune500, а также государственных агентств, по-прежнему заражены этим трояном.
Напомним, что в ноябре 2011 года была пресечена деятельность международной организации, которая установила вредоносное ПО на более четырех миллионов компьютеров в более чем 100 странах. Программа DNSChanger, как понятно из названия, меняла IP-адреса стандартного DNS в системе, так что пользователи, вместо сайтов Netflix, Налоговой службы США, iTunes и других, направлялись на другие домены. Вдобавок, вирус также блокировал антивирусные сайты, усложняя тем самым процесс очистки системы.
Представители американских властей заявили, что за аферой стоит эстонская компания Rove Digital, так что шесть эстонцев были арестованы местными властями и подлежат экстрадиции на территорию США. Каждому предъявлено по пять обвинений в мошенничестве с использованием электронных средств коммуникации и взломе компьютеров. Один из них был директором компании-регистратора доменных имён EstDomains, которая предоставляла услуги киберпреступникам. Арест стал возможной благодаря двухлетнему расследованию и операции под названием Operation Ghost Click (пресс-релиз ФБР).
С момента операции прошло несколько месяцев, но процесс очистки заражённых компьютеров идёт довольно медленно. На данный момент ежедневно по поддельным DNS-записям в интернет выходят до 400 тыс. человек.
По результатам исследования компании Internet Identity, троян DNSChanger до сих пор установлен на компьютерах примерно половины крупнейших корпораций США и в 27 из 55 основных федеральных агентств США.
Конечно, никакой опасности DNSChanger не несёт, просто этот случай наглядно показывает, насколько слабо обычные пользователи следят за состоянием своих ПК, и насколько мало они осведомлены о сетевых угрозах. Проверить свой компьютер на наличие DNSChanger очень просто: достаточно запустить из консоли команду ipconfig /all и сверить настройки DNS с этим списком.
Интересно, что настройки DNSChanger предусматривают работу поддельных DNS-серверов только до 8 марта 2012 года, так что через месяц многих пользователей ждёт сюрприз. С точки зрения специалистов по безопасности, это и хорошо, потому что отключение пользователям интернета ускорит процесс очистки базы инфицированных ПК. Например, от червя Conflicker не удаётся избавиться до сих пор, хотя прошло уже три года.
