Heh. OK, esse título foi só para imitar as manchetes sensacionalistas dos portais de notícias sobre o assunto.
A notícia é que o FBI vai cortar o acesso Internet dos computadores infectados pelo vírus DNSChanger. Esse vírus está ativo há cinco anos e é pouco provável que você seja impactado pelo corte. A não ser que seu antivírus esteja desatualizado, ou seu antivírus seja meio fraquinho, ou você não tenha antivírus. Nestes casos, contrair um vírus como esse é apenas questão de sorte. Basta você clicar OK distraído em algum ActiveX, Java Applet por aí e pronto, seu computador pode estar contaminado.
Softwares baixados de torrents também são campeões em conter esses bichinhos. É preciso ter em mente que executar um .exe (ou confiar em um ActiveX ou Applet) de fonte desconhecida é como pegar alguém na balada e, sem mais informações, cometer um sexinho sem compromisso. Estatisticamente, não deve acontecer nada, mas pode acontecer tudo. O arquivo executável tem permissão de ler e escrever em todo o seu disco. Se ele precisar de permissões mais avançadas (instalar serviços, alterar hosts, etc), ele pedirá permissão de Administrador. Isso, aquela telinha escura do Windows que você nem lê e clica OK.
Enfim, todo cuidado é pouco. Mas comecei a escrever esse post porque achei interessante o funcionamento desse DNSChanger. Interessante talvez por ser inocente, trivial. Naïve, vocês dizem né. Ele altera o mecanismo DNS do sistema, fazendo com que as requisições DNS sejam direcionadas para servidores mal-intencionados. Ao invés do IP correto do site desejado, esses servidores DNS falsos respondem com sites maliciosos. No fundo, no começo do DNSChanger, esses sites nem era tão maliciosos. Eles eram simplesmente versões dos sites originais alterados parar exibirem anúncios vendidos pela empresa que desenvolveu o vírus. Assim, os caras ganharam mui-ita-gra-na.
Outra função naïve do DNSChanger é a propagação por DHCP. O DHCP é aquele protocolo que seu computador usa pra pedir um IP pro roteador. Ao receber uma requisição DHCP, o roteador fornece um IP para seu computador. Junto com o IP, o roteador diz pro seu computador qual é o Gateway padrão (com quem conversar quando quiser falar de Internet) e o qual servidor DNS deve ser usado. Bang. Agora imagine você sendo o vírus DNSChanger. Você tem controle de um computador da rede e “ouve” algum computador pedir um IP por DHCP, o que você faz? Natural. Bota o corpo na frente e fala “Fique frio, meu filho. Sou o servidor DHCP, seu IP é tal, use esse servidor DNS aqui ó.” Pronto. O outro computador da rede cai na conversa e passa a usar o DNS infectado.
Parece tudo muito simples, mas certamente a execução é bem complicada. Não só técnica, mas da organização de toda essa estrutura de servidores, contaminação, substituição de conteúdo malicioso, e ainda arquitetar um plano de negócio para faturar milhões com isso. Bom, os estonianos (ou estônios? ou o quê?) que elaboraram isso já estão bem presos e correndo risco de extradição para os EUA.
O FBI confiscou os servidores DNS para onde as requisições são enviadas e os substituiu por servidores “bem-intencionados”. Amanhã (segunda-feira, 9/julho, feriado em Sampa), esses servidores serão desligados definitivamente. Assim, os computadores que estão infectados perderão o acesso à Internet, pois seu DNS deixará de funcionar.
E seu computador, está protegido? Seu antivírus está atualizado? Você baixa programas daquele site .ru com anúncios de gatinhas em trajes mínimos? Bem, todos estamos aí e expostos, mas é importante conhecer os riscos.
Hehe danadinho esse título hein, cliquei correndo… Tinha ouvido falar desse lance do FBI, mas aprendi bastante agora
Prova que eu não clico nos .ru é que meu computador continua na ativa. :)
Manus, manus! Você usa Linux, não vale. :)