Google начинает «просветительскую» кампанию, связанную с эпидемией троянца DNSChanger: обладатели заражённых машин и сетевых маршрутизаторов при заходе на поисковик Google.com будут видеть табличку вроде этой:
DNSChanger — троянец, меняющий установки DNS на заражённых пользовательских машинах и, что хуже, на роутерах так, чтобы перетягивать трафик на сайты, которые пользователь мог и не собираться посещать. Порнобаннеры и прочая непрошеная реклама — лишь некоторые внешние (и, скорее всего, вторичные) проявления «жизнедеятельности» этого зловреда. Хуже другое: DNSChanger по сути перенаправлял и перенаправляет пользовательские соединения на фальшивые DNS-серверы. В прошлом году в результате совместной операции ФБР и эстонских правоохранителей был задержан и препровождён в США предположительный создатель ботнета DNSChanger Андрей Иванов. Он уже предстал перед судом. «Поддельные» DNS-серверы, принадлежавшие злоумышленникам, были решением суда на время переданы рабочей группе при ФБР, задачей которой было проинформировать провайдерские компании и пользователей о том, что следует сделать для лечения от зловреда. Согласно решению суда, подменные серверы работают только до 9 июля. После этого обработка DNS-запросов, посылаемых с заражённых компьютеров, прекратится полностью — то есть доступ в Сеть с таких машин либо сильно замедлится, либо исчезнет вовсе.
На Securelist публикуется история (1, 2) о том, как пытались обезвредить DNSChanger, успевший перезаражать четыре миллиона машин по всему миру.
Проблема в том, что и сейчас количество заражённых устройств может достигать 500 тысяч, опять же по всему миру. И случаются новые заражения.
В Google надеются, что извещения, получаемые с доверенного сайта Google.com, помогут решить проблему.
P.S. В базе данных «Лаборатории Касперского» фигурирует ботнет Shadow, в списке вредоносных программ которого перечислены 22 разновидности Trojan.Win32.DNSChanger. Означает ли это, что Shadow и DNSChanger — один и тот же ботнет?
В свою очередь, в «Википедии» упоминается старый троянец Zlob; утверждается, что DNSChanger является «представителем его семейства». Zlob предположительно имеет российское происхождение или, что также вероятно, его делали русскоязычные программисты.