Le CERT-Lexsi nous informe que sur demande du FBI, la justice américaine a prolongé de quatre mois l'autorisation permettant à l'ISC d'opérer des serveurs DNS sains de remplacement. Ces derniers ont été mis en place afin que des ordinateurs infectés par le malware DNSChanger puissent tout de même accéder au Web.
Ils devaient être désactivés dans la semaine, soit le 8 mars prochain. Ils le seront finalement le 9 juillet 2012. Grâce à ce délai supplémentaire, plus d'utilisateurs infectés pourront être alertés de la situation. Ils sont donc manifestement encore nombreux.
Actualité publiée le 17 février 2012 :
En novembre 2011, le FBI annonçait l'opération Ghost Click et le démantèlement d'un botnet ( voir notre actualité ). Via le cheval de Troie DNSChanger, jusqu'à 4 millions d'ordinateurs à travers le monde ont été infectés au fil des années.
Ce nuisible modifiait les paramètres DNS d'un système infecté afin d'afficher de la publicité non désirée, modifier les résultats affichés par les moteurs de recherche ou rediriger vers des sites malveillants. Le service DNS permet pour rappel de faire la correspondance entre un nom de domaine et l'adresse IP.
Plusieurs cybercriminels qui opéraient la configuration DNS malveillante ont été arrêtés. Les adresses IP utilisées par ces cybercriminels ont été gelées et des serveurs DNS de remplacement sains ont été mis en place afin que les machines infectées puissent tout de même accéder au Web.
Au 10 février 2012, près de 400 000 machines étaient encore infectées par DNSChanger dont plus de 10 000 en France. Or, le 8 mars prochain, les serveurs DNS de remplacement seront désactivés.
La date butoir approche. Une initiative a ainsi été lancée sous l'égide du groupe de travail DNSChanger composé de forces de l'ordre, éditeurs d'antivirus et d'équipes de réponse à incident informatique dont le CERT-Lexsi en France.
Celui-ci annonce le site DNS-OK.fr qui permet de vérifier si un ordinateur est infecté par DNSChanger ou si des traces demeurent au niveau des paramètres DNS. Le cas échéant, la conduite à suivre est explicitée.
Des sites de test existent avec plusieurs autres extensions ( .us, .be, .de... ) pour deux résultats possibles :
