Половина списка Fortune 500 и крупные государственные учреждения США оказались заражены вирусом DNS Changer, который перенаправляет пользователей на мошеннические веб-сайты и подвергает организации риску хищения информации, заявила ИБ-компания Internet Identity.
Министерство юстиции США в ноябре 2011 года провело операцию по уничтожению программы DNS Changer, которая на пике своей мощи присутствовала более чем на 4 млн. ПК под управлением ОС Windows и Mac. Четверть этих машин находилась на территории США.
Последовавший затем арест шести эстонцев, обвиняемых в создании ботнета, стал кульминацией двухлетнего расследования, хотя некоторые исследователи в сфере безопасности следили за ботнетом еще с 2006 года. В рамках этой операции ФБР захватило более 100 серверов управления и контроля ботнетом, которые размещались в ЦОДах на территории США.
Но, по данным Internet Identity (IID), до сих пор в указанных компаниях могут оставаться от одного до нескольких компьютеров, зараженных DNS Changer. В ходе исследования IID использовала телеметрические данные мониторинга клиентских сетей, а также сторонние сведения.
Эксперты IID считают, что заражённые машины всё ещё могут создать проблемы. «Изначально DNS Changer причинял беспокойство, поскольку мог перенаправить вас из безопасного окружения в среду, контролируемую преступниками, - отметил Род Расмуссен (Rod Rasmussen), директор по технологиям IID - ФБР смогла временно исправить ситуацию. Теперь тревожит то, что машины, несущие в себе вирус, представляют собой ещё одно слабое место... Практически они остались без всякой защиты».ИТ-ландшафт российских организаций в области систем резервного копирования и смежных типов ПО. Результаты исследования TAdviser 
DNS Changer блокирует возможность обновления программного обеспечения – патчей, которые вендоры выпускают для исправления недочётов, а также отключает установленное ПО защиты. Другие специалисты отмечают, что у таких компьютеров есть всего несколько недель, прежде чем они будут повреждены.
В рамках проведения упомянутой операции федеральный суд США одобрил план, согласно которому чистые DNS-серверы были развёрнуты некоммерческой организацией Internet Systems Consortium (ISC), поддерживающей популярный проект BIND DNS с открытым исходным кодом. Без этого шага заражённые системы были бы отрезаны от Интернета в тот момент, когда ФБР изъяла доменные серверы мошенников.
Но ISC уполномочена поддерживать альтернативные серверы DNS лишь в течение 120 дней или до начала марта 2012 года. «[ISC] остановит [DNS] серверы в марте и все, кто ещё использует их, потеряют доступ к Интернету, - отметил Вольфганг Кандек (Wolfgang Kandek), главный технический директор Qualys, в блоге компании 2 февраля 2012 года.
Qualys добавила бесплатный инструмент проверки – BrowserCheck, для обнаружения DNS Changer, который работает на ПК под управлением Windows, а основная рабочая группа - DNS Changer Working Group - создала веб-сайт, который окажет содействие пользователям в процессе обнаружения заражённых компьютеров.
