Dans environ deux semaines, des centaines de milliers d’utilisateurs d’ordinateurs vont apprendre à leurs dépens que le fait de ne pas garder une machine propre a des conséquences. Le 9 juillet 2012, tous les systèmes encore infectés par le Cheval de Troie DNSChanger sera sommairement déconnecté du reste d’Internet, et les derniers rapports indiquent que ce logiciel malveillant est toujours présent sur les systèmes de 12 % des entreprises du Fortune 500 et d’environ 4 % des agences fédérales américaines.
Chronologie DNChanger. Source : Identité Internet
Dans le but d’aider les utilisateurs à nettoyer les infections, des experts en sécurité ont obtenu l’approbation du tribunal l’année dernière pour prendre le contrôle de l’infrastructure qui alimentait le cheval de Troie piratant la recherche. Mais un délai imposé par le tribunal pour éteindre cette infrastructure coupera l’accès à Internet pour les PC qui ne sont pas débarrassés du logiciel malveillant avant le 9 juillet 2012.
Selon Identité Internet12 % de toutes les entreprises du Fortune 500 et 4 % des « principales » agences fédérales américaines sont toujours infectées (un lien vers l’infographie complète d’Internet Identity est ici). le dernières statistiques du Groupe de travail DNSChangerun consortium industriel travaillant à éradiquer le logiciel malveillant, plus de 300 000 systèmes sont toujours infectés.
Ce nombre est probablement prudent : le DCWG mesure les infections par adresses IP (Internet Protocol), et non par systèmes uniques. Étant donné que de nombreux systèmes qui se trouvent sur le même réseau local partagent souvent la même adresse IP, le nombre réel de machines infectées par DNSChanger est probablement bien supérieur à 300 000.
Google semble certainement penser que le nombre est plus élevé, peut-être jusqu’à 30 % plus élevé. Le 22 mai, Google a annoncé qu’il commencerait à avertir les utilisateurs si leurs ordinateurs montraient des signes révélateurs d’infection par DNSChanger. La société estimait à l’époque que plus de 500 000 systèmes restaient infectés par le logiciel malveillant. À cette date, le DCWG suivait les infections remontant à 333 908 adresses IP.
Pour savoir si un système de votre réseau est infecté, visitez le Page de vérification de DNSChanger. D’autres ressources pour nettoyer les infections DNSChanger sont ici.
DNSChanger ne détourne peut-être plus les résultats de recherche, mais le logiciel malveillant comporte toujours des menaces et des risques secondaires. Il était fréquemment associé à d’autres logiciels malveillants et, par conséquent, les machines malades de DNSChanger hébergent probablement également d’autres infestations de logiciels malveillants. De plus, DNSChanger désactive la protection antivirus sur les machines hôtes, les exposant davantage aux menaces en ligne.
DNSChanger modifie les paramètres d’un PC hôte qui indiquent à l’ordinateur comment trouver des sites Web sur Internet, détournant les résultats de recherche des victimes et les empêchant de visiter des sites de sécurité qui pourraient aider à détecter et à nettoyer les infections. Les serveurs Internet utilisés pour contrôler les ordinateurs infectés étaient situés aux États-Unis et, en coordination avec l’arrestation en novembre dernier des hommes estoniens soupçonnés d’être responsables de l’exploitation du réseau de chevaux de Troie, un tribunal de district de New York a ordonné à une société privée américaine de prendre le contrôle de ces serveurs.
Le gouvernement a fait valoir que l’arrangement donnerait aux FAI et aux entreprises le temps d’identifier et de nettoyer les PC infectés, des systèmes qui seraient autrement déconnectés d’Internet si les serveurs de contrôle étaient arrêtés. Le tribunal a accepté et a ordonné que les serveurs de contrôle de substitution restent opérationnels jusqu’au 8 mars. Lorsque la date limite du 8 mars s’est approchée et qu’il a été découvert que le nettoyage prenait plus de temps que prévu, le tribunal a accepté de reporter la date limite au 9 juillet 2012.