/DNS-changer-malware.pdf

En novembre 2011, les serveurs #DNS utilisés par le logiciel malveillant #DNS_Changer (aussi nommé #Zlob) étaient confisqués par le FBI :

►http://seenthis.net/messages/41074

Depuis, ils fonctionnaient sous le contrôle de l’#ISC, suivant un ordre de la justice états-unienne, permettant ainsi de suivre l’état des machines infectées :

http://images.spaceref.com/news/2011/ProtectiveOrder.pdf

En plus d’espionner le trafic DNS, ces serveurs assuraient toujours un service de résolution normal.

Cet ordre expire apparemment (je ne suis pas un expert de droit états-unien) le 8 mars, les serveurs devraient donc s’arrêter à cette date. Les machines encore infectées n’auront donc plus de résolveur DNS et donc quasiment plus d’accès à l’Internet.

Un article assez sensationnaliste en français :

http://www.lemondeinformatique.fr/actualites/lmi/lire-le-fbi-va-fermer-des-serveurs-dns-corrompus-47800.html

Et un autre :
http://www.globalsecuritymag.fr/G-Data-Infection-DNSChanger,20120216,28483.html

Un bon article technique (qui explique notamment comment fonctionne le site Web de test) :

http://cert.lexsi.com/weblog/index.php/2012/02/09/425-dns-okfr

Un bon article de synthèse en français, par un expert qui explique bien :

http://blog.crimenumerique.fr/2012/02/19/le-dns-cible-de-toutes-les-attaques

Le site officiel du groupe (autour du FBI) qui s’occupe de cette affaire :

http://www.dcwg.org

Vous pouvez apparemment tester ici si votre machine MS-Windows est infectée par DNS_Changer (si elle ne l’est pas, ne vous inquiétez pas, elle porte certainement des tas d’autres malwares) :

http://dns-ok.fr

#DNS_Changer (aussi nommé #Zlob) a peut-être terminé sa carrière, grâce à l’opération Ghost Click http://blog.trendmicro.com/esthost-taken-down-%E2%80%93-biggest-cybercriminal-takedown-in-hist DNS Changer est un logiciel malveillant qui modifie les réglages #DNS (d’où son nom) de la machine. Se fiant au serveur DNS pirate, la pauvre machine allait ensuite visiter des sites où on paie au clic. Les paiements allaient à un gang en Estonie. Dans certains cas, DNS changer piratait également le routeur d’accès (box, CPE, etc).

Contrairement à ce qui a été parfois dit, #DNSSEC n’aurait pas pu aider, le logiciel pouvait aussi changer les paramètres de validation (et donc débrayer les vérifications DNSSEC). Dans certains cas rares (celui où DNS changer modifiait le routeur mais ne modifiait pas la machine hôte et si le validateur DNSSEC était sur cette machine), peut-être DNSSEC aurait-il pu permettre de bloquer l’attaque.

Le logiciel malveillant, version Windows :
http://www.f-secure.com/v-descs/dnschang.shtml

Il y aurait une version MacOS :
http://macdailynews.com/2007/11/01/mac_dns_changer_trojan_osx_puper_relatively_simple_works_like_windows_

Sur sa version qui attaque les petits routeurs les plus courants :
http://voices.washingtonpost.com/securityfix/2008/06/malware_silently_alters_wirele_1.html

Le site officiel :-) du logiciel :
http://www.dnschanger.com

Sur l’enquête et le démantèlement du gang :
http://krebsonsecurity.com/2011/11/malware-click-fraud-kingpins-arrested-in-estonia (moins détaillé sur le premier URL donné)

Une récupération idéologique, appelant à privatiser police et justice : http://ridethelightning.senseient.com/2011/11/taking-down-the-bad-guys-takes-a-team-operation-ghost-cl L’auteur reprend même le terme très chargé de « posse » (le groupe de citoyens qui va lyncher le méchant dans les westerns)

Sur le même sujet, pour tester la détection de langues de #SeenThis :
http://www.delfi.ee/news/paevauudised/110_112/fotod-kriminaalpolitsei-puistas-tartu-kesklinna-maja.d?id=61270370

Le communiqué du #FBI ►http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf