Google ha annunciato quest’oggi di avviare una campagna informativa a beneficio di tutti quegli utenti i cui personal computer risultano ancora infettati dal malware DNSChanger. La minaccia venne alla luce nel corso del mese di novembre 2011 quando il Dipartimento della Giustizia statunitense accusò sette individui di nazionalità russa ed estone di aver orchestrato diverse truffe online, tutte facenti riferimento a DNSChanger. Tale malware, infatti, veniva usato come testa di ponte per indirizzare gli utenti vittime dell’infezione verso siti web usati per condurre attacchi phishing.
DNSChanger veniva distribuito attraverso pagine web malevole (costruite con lo scopo di sfruttare vulnerabilità non sanate nel browser e nel sistema operativo del sistema client) od inserito all’interno di software altrettando dannosi diffusi anche attraverso le più famose piattaforme di condivisione file peer-to-peer.
Il malware DNSChanger, una volta insediatosi sul sistema, provvedeva a dirottare ogni richiesta di connessione verso server DNS maligni i quali, a loro volta, indirizzavano l’utente verso siti Internet che non si sarebbero mai voluti visitare.
Grazie all’intervento dei giudici, si è potuto disattivare i DNS maligni ed attivare, al loro posto, dei server DNS dal comportamento assolutamente benigno (i nomi dei domini Internet vengono correttamente risolti).
Dal momento che, secondo le ultime stime, sarebbero ancora centinaia di migliaia gli utenti che, in tutto il mondo, continuano ad usare sistemi infettati da DNSChanger, i tecnici di Google hanno spiegato di voler intervenire. Ogniqualvolta si effettuerà una ricerca con Google da una macchina infetta, Google mostrerà, nella parte superiore della finestra, un eloquente avviso. Tale messaggio, che informa l’utente circa l’infezione rilevata sul suo personal computer, verrà esposto nella lingua corretta in modo che sia immediatamente comprensibile.
Google spiega di riuscire a stabilire se sul client di un utente è ancora attivo DNSChanger semplicemente analizzando da quali server intermedi proviene la richiesta di connessione.
Dopo il 9 luglio prossimo, i server DNS temporanei – attivati in sostituzione di quelli usati da DNSChanger – saranno spenti e chi non avrà ancora rimosso l’infezione non riuscirà più a visitare alcun sito web.