{"id":1478,"date":"2012-07-08T23:05:56","date_gmt":"2012-07-09T02:05:56","guid":{"rendered":"http:\/\/www.subterfugios.net\/blog\/?p=1478"},"modified":"2012-07-08T23:07:21","modified_gmt":"2012-07-09T02:07:21","slug":"dnschanger-a-internet-vai-acabar","status":"publish","type":"post","link":"https:\/\/www.subterfugios.net\/blog\/dnschanger-a-internet-vai-acabar\/","title":{"rendered":"DNSChanger – a Internet vai acabar"},"content":{"rendered":"

\"Lisbeth\"Heh. OK, esse t\u00edtulo foi s\u00f3 para imitar as manchetes sensacionalistas dos portais de not\u00edcias sobre o assunto.<\/p>\n

A not\u00edcia \u00e9 que o FBI vai cortar o acesso Internet dos computadores infectados pelo v\u00edrus DNSChanger. Esse v\u00edrus est\u00e1 ativo h\u00e1 cinco anos e \u00e9 pouco prov\u00e1vel que voc\u00ea seja impactado pelo corte. A n\u00e3o ser que seu antiv\u00edrus esteja desatualizado, ou seu antiv\u00edrus seja meio fraquinho, ou voc\u00ea n\u00e3o tenha antiv\u00edrus. Nestes casos, contrair um v\u00edrus como esse \u00e9 apenas quest\u00e3o de sorte. Basta voc\u00ea clicar OK distra\u00eddo em algum ActiveX, Java Applet por a\u00ed e pronto, seu computador pode estar contaminado.<\/p>\n

Softwares baixados de torrents tamb\u00e9m s\u00e3o campe\u00f5es em conter esses bichinhos. \u00c9 preciso ter em mente que executar um .exe (ou confiar em um ActiveX ou Applet) de fonte desconhecida \u00e9 como pegar algu\u00e9m na balada e, sem mais informa\u00e7\u00f5es, cometer um sexinho sem compromisso. Estatisticamente, n\u00e3o deve acontecer nada, mas pode acontecer tudo. O arquivo execut\u00e1vel tem permiss\u00e3o de ler e escrever em todo o seu disco. Se ele precisar de permiss\u00f5es mais avan\u00e7adas (instalar servi\u00e7os, alterar hosts, etc), ele pedir\u00e1 permiss\u00e3o de Administrador. Isso, aquela telinha escura do Windows que voc\u00ea nem l\u00ea e clica OK.<\/p>\n

Enfim, todo cuidado \u00e9 pouco. Mas comecei a escrever esse post porque achei interessante o funcionamento desse DNSChanger. Interessante talvez por ser inocente, trivial. Na\u00efve, voc\u00eas dizem n\u00e9. Ele altera o mecanismo DNS do sistema, fazendo com que as requisi\u00e7\u00f5es DNS sejam direcionadas para servidores mal-intencionados. Ao inv\u00e9s do IP correto do site desejado, esses servidores DNS falsos respondem com sites maliciosos. No fundo, no come\u00e7o do DNSChanger, esses sites nem era t\u00e3o maliciosos. Eles eram simplesmente vers\u00f5es dos sites originais alterados parar exibirem an\u00fancios vendidos pela empresa que desenvolveu o v\u00edrus. Assim, os caras ganharam mui-ita-gra-na.<\/p>\n

Outra fun\u00e7\u00e3o na\u00efve do DNSChanger \u00e9 a propaga\u00e7\u00e3o por DHCP. O DHCP \u00e9 aquele protocolo que seu computador usa pra pedir um IP pro roteador. Ao receber uma requisi\u00e7\u00e3o DHCP, o roteador fornece um IP para seu computador. Junto com o IP, o roteador diz pro seu computador qual \u00e9 o Gateway padr\u00e3o (com quem conversar quando quiser falar de Internet) e o qual servidor DNS deve ser usado. Bang. Agora imagine voc\u00ea sendo o v\u00edrus DNSChanger. Voc\u00ea tem controle de um computador da rede e “ouve” algum computador pedir um IP por DHCP, o que voc\u00ea faz? Natural. Bota o corpo na frente e fala “Fique frio, meu filho. Sou o servidor DHCP, seu IP \u00e9 tal, use esse servidor DNS aqui \u00f3.” Pronto. O outro computador da rede cai na conversa e passa a usar o DNS infectado.<\/p>\n

\"Cyberpunk\"Parece tudo muito simples, mas certamente a execu\u00e7\u00e3o \u00e9 bem complicada. N\u00e3o s\u00f3 t\u00e9cnica, mas da organiza\u00e7\u00e3o de toda essa estrutura de servidores, contamina\u00e7\u00e3o, substitui\u00e7\u00e3o de conte\u00fado malicioso, e ainda arquitetar um plano de neg\u00f3cio para faturar milh\u00f5es com isso. Bom, os estonianos (ou est\u00f4nios? ou o qu\u00ea?) que elaboraram isso j\u00e1 est\u00e3o bem presos e correndo risco de extradi\u00e7\u00e3o para os EUA.<\/p>\n

O FBI confiscou os servidores DNS para onde as requisi\u00e7\u00f5es s\u00e3o enviadas e os substituiu por servidores “bem-intencionados”. Amanh\u00e3 (segunda-feira, 9\/julho, feriado em Sampa), esses servidores ser\u00e3o desligados definitivamente. Assim, os computadores que est\u00e3o infectados perder\u00e3o o acesso \u00e0 Internet, pois seu DNS deixar\u00e1 de funcionar.<\/p>\n

E seu computador, est\u00e1 protegido? Seu antiv\u00edrus est\u00e1 atualizado? Voc\u00ea baixa programas daquele site .ru com an\u00fancios de gatinhas em trajes m\u00ednimos? Bem, todos estamos a\u00ed e expostos, mas \u00e9 importante conhecer os riscos.<\/p>\n