Na madrugada de domingo para segunda-feira, milhares de usuários de internet no mundo todo ficarão sem acesso à rede. O motivo: suas máquinas estão infectadas por um malware conhecido como DNSChanger que começou a se espalhar em 2007 e ainda hoje circula por computadores no mundo todo. Para parar a disseminação da praga, o FBI desligará os servidores para onde as máquinas infectadas estão sendo direcionadas, fazendo com que elas fiquem sem acesso à internet.
Listamos as principais dúvidas que envolvem o DNSChanger, respondidas pelo diretor de suporte técnico da McAfee, José Matias Neto, e por especialistas da empresa de segurança finlandesa . Saiba se seu computador está infectado, se você corre risco de ficar sem internet amanhã e como eliminar o vírus:
O que é o DNSChanger? Como ele atua?
O DNSChanger é um malware descoberto em 2007 que ataca um sistema crítico no ambiente computacional do usuário: o DNS (Domain Name System).
Quando você digita um endereço de internet no navegador (www.terra.com.br, por exemplo), o DNS converte esse endereço amigável para um protocolo IP, endereço numérico que os computadores usam para se comunicar entre si.
O golpe do DNSChanger modificou esse serviço DNS. Mesmo que o usuário digitasse um endereço corretamente no navegador, o DNS redirecionava o site para um endereço IP que levava para os servidores do atacante, e não para o site que o usuário realmente desejava ir.
O FBI já desativou os servidores maliciosos dos golpistas, e todo esse tráfego das máquinas infectadas está sendo direcionado para servidores seguros do próprio FBI, que serão desligados na segunda-feira.
Qual a motivação para espalhar essa ameaça?
A principal motivação dos criminosos, claro, era o lucro. Ao tentar fazer uma transação bancária pela internet, por exemplo, o usuário pensava que estava visitando o site do banco cujo endereço havia digitado, mas na verdade estava sendo redirecionado para uma página falsa criada pelos criminosos, mas muito parecida com a original.
O usuário desavisado, assim, fornecia aos atacantes todas suas informações bancárias sem saber, e os criminosos usavam esses dados em nome do usuário. O internauta não conseguia identificar o golpe: todo esse redirecionamento acontecia sem que ele percebesse, pensando que o site do banco estava fora do ar, simplesmente.
Como o vírus foi distribuído?
O vírus foi espalhado principalmente por golpes de phishing, uma das maneiras mais baratas de distribuir malware pela internet: uma história que parece verídica é criada e enviada por e-mail, levando usuários mais desatentos a clicarem nos links maliciosos e baixar o arquivo infectado.
Desde quando esse caso é investigado? Alguém foi preso?
O malware foi descoberto em 2007 por especialistas de segurança. O grupo por trás do malware contava com sete pessoas, que agiam através de uma empresa de fachada chamada Roze Digital. Em novembro de 2011, seis estonianos foram presos pela Polícia Federal dos Estados Unidos, o FBI, por causa da ação, mas uma dos envolvidos ainda continua solto e é considerado foragido na Rússia. Estima-se que o golpe tenha causado um prejuízo de US$ 20 milhões em quatro anos.
Quantos usuários já foram infectados?
Em 2007, quando a praga foi descoberta, a McAfee divulgou um relatório afirmando que eram 4 milhões as máquinas infectadas. Desde então, uma vacina está disponível para eliminar o malware, mas muitos usuários ou não usam antivírus ou não mantêm os programas atualizados. Por isso, estima-se que mais de 300 mil computadores sigam infectados atualmente, 6 mil deles no Brasil.
Por que as pessoas infectadas ficarão sem internet na segunda-feira?
Depois da descoberta do golpe, o FBI “capturou” todo o tráfego que ia para os servidores dos golpistas e redirecionou para servidores de DNS próprios e “limpos”, para que os computadores infectados não perdessem sua conexão subitamente. Os tribunais americanos autorizaram o funcionamento dos servidores do FBI até o dia 9 de julho.
Por isso, esses servidores serão desligados à 1h de segunda-feira (horário de Brasilia), fazendo com que essas máquinas fiquem sem nenhum acesso à internet por meio do navegador, já que todo o tráfego de internet será direcionado pelo malware a um servidore que está desligado. Sem acesso à rede, as máquinas infectadas não vão mais distribuir o vírus.
Como fazer para identificar se eu tenho o malware, eliminá-lo e garantir que não terei problema de acesso na segunda-feira?
Existem diversas ferramentas disponíveis na internet para que o usuário possa identificar se está infectado e eliminar a ameaça. A McAfee criou uma ferramenta online para detectar se a máquina está infectada. Após clicar em “check now”, o sistema exibirá uma mensagem avisando se há ou não infecção. Caso o computador tenha sido afetado pelo malware, os usuários poderão fazer o download de uma solução para eliminar a praga e alterar as configurações da internet.
A F-Secure também tem uma solução gratuita para eliminar o malware dos computadores. O download pode ser feito diretamente do site da empresa finlandesa, mas somente se o usuário identificar que a máquina está infectada.
O que acontecerá com quem continuar infectado?
Isso é muito importante: a partir da 1h de segunda-feira, nenhum dos computadores infectados poderá fazer pesquisas na internet até que as configurações do DNS sejam alteradas. Por isso, o ideal é que essa checagem seja feita antes disso.
É possível também alterar manualmente as configurações de DNS. Apesar de simples, o processo pode ser trabalhoso para quem não está acostumado a mexer nessas configurações. Outra opção é baixar a solução para eliminar o vírus em outra máquina, e instalá-la no computador infectado.
Terra