DnsChanger: il trojan che attacca i DNS dei router

di Gianluca Rini

scritto il

Uno dei nuovi pericoli che viaggia in questi giorni nella rete si dirige in particolare verso i nostri cari apparecchietti posti sulla nostra scrivania, quelli che ci permettono di collegarci a Internet per leggere questo blog o per studiare, lavorare o divertirci.

Proprio così, DnsChanger (con questo nome è stato battezzato il trojan) modifica le impostazioni del nostro router/modem. Nello specifico, riesce a cambiare le impostazioni dei DNS (i server che trasformano nomi host in indirizzi IP e viceversa).

In questo modo, incanalando il traffico Internet verso un server ucraino, ogni sito Internet che visiteremo non sarà mai quello che vogliamo visitare, ma verrà reindirizzato a un sito di phishing, magari anche simile nell’aspetto a quello originale e creato appositamente per la truffa, o a un sito pericoloso perché contenente malware o codice malevolo non ben identificato.

TrustedSource consiglia di controllare le impostazioni dei DNS, andando nel registro di sistema in corrispondenza del percorso “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”. Se si visualizza qualche indirizzo IP nelle chiavi di registro del tipo “85.255.*.*”, potrebbe essere un chiaro sintomo di infezione.

In ogni caso non bisogna allarmarsi troppo. Il trojan non attacca tutti i modelli di router presenti sul mercato. Attualmente è in grado di modificare le impostazioni accedendo alle interfacce di configurazione di pochissimi modelli, il cui elenco è contenuto su un dizionario attualmente limitato. Ma gli analisti e gli esperti comunque avvertono che questo elenco potrebbe presto aumentare.