Google начинает “просветительскую” кампанию, связанную с эпидемией троянца DNSChanger: обладатели заражённых машин и сетевых маршрутизаторов при заходе на поисковик Google.com будут видеть табличку вроде этой:

DNSChanger – троянец, меняющий установки DNS на заражённых пользовательских машинах и, что хуже, на роутерах так, чтобы перетягивать трафик на сайты, которые пользователь мог и не собираться посещать. Порнобаннеры и прочая непрошеная реклама – лишь некоторые внешние (и, скорее всего, вторичные) проявления “жизнедеятельности” этого зловреда. Хуже другое: DNSChanger по сути перенаправлял и перенаправляет пользовательские соединения на фальшивые DNS-серверы. В прошлом году в результате совместной операции ФБР и эстонских правоохранителей был задержан и препровождён в США предположительный создатель ботнета DNSChanger Андрей Иванов. Он уже предстал перед судом. “Поддельные” DNS-серверы, принадлежавшие злоумышленникам, были решением суда на время переданы рабочей группе при ФБР, задачей которой было проинформировать провайдерские компании и пользователей о том, что следует сделать для лечения от зловреда. Согласно решению суда, подменные серверы работают только до 9 июля. После этого обработка DNS-запросов, посылаемых с заражённых компьютеров, прекратится полностью – то есть доступ в Сеть с таких машин либо сильно замедлится, либо исчезнет вовсе.

На Securelist публикуется история (1, 2) о том, как пытались обезвредить DNSChanger, успевший перезаражать четыре миллиона машин по всему миру.

Проблема в том, что и сейчас количество заражённых устройств может достигать 500 тысяч, опять же по всему миру. И случаются новые заражения.

В Google надеются, что извещения, получаемые с доверенного сайта Google.com, помогут решить проблему.

P.S. В базе данных “Лаборатории Касперского” фигурирует ботнет Shadow, в списке вредоносных программ которого перечислены 22 разновидности Trojan.Win32.DNSChanger. Означает ли это, что Shadow и DNSChanger – один и тот же ботнет?

В свою очередь, в “Википедии” упоминается старый троянец Zlob; утверждается, что DNSChanger является “представителем его семейства”. Zlob предположительно имеет российское происхождение или, что также вероятно, его делали русскоязычные программисты.