Depuis 2007, ces pirates exploitaient sur Internet une escroquerie par le biais de serveurs DNSChanger grâce auxquels ils ont pu prendre le contrôle d'environ quatre millions d'ordinateurs dans le monde et au moins 568 000 aux États-Unis. Avec leur spamming publicitaire les pirates ont pu collecter la coquette somme de 14 millions de dollars. Surtout, les ordinateurs infectés étaient devenus dépendant de ces serveurs voyous pour leur navigation sur Internet.
Une mesure temporaire qui va prendre fin
Selon le FBI, si l'agence avait pris l'option de fermer l'infrastructure des criminels et de confisquer les serveurs pirates, leurs victimes n'auraient plus été en mesure de se connecter à Internet. Pour éviter cela, la nuit où les agents fédéraux ont mené leur opération conduisant à l'arrestation de six personnes de nationalité estonienne, Paul Vixie, fondateur et président de l'Internet Software Consortium, a été recruté pour installer deux serveurs « propres » qui ont pris le relais des serveurs saisis. Ces serveurs avaient été programmés pour cesser leur activité le 8 mars, mais un juge fédéral a prolongé le délai jusqu'au 9 Juillet. Jenny Shearer, porte-parole du FBI a déclaré que l'agence voulait identifier les ordinateurs encore infectés, pour les faire pointer vers le site web du DNS Changer Serving Group (DCWG), afin de détecter, de nettoyer et de protéger ces machines contre l'escroquerie. Les experts en sécurité pensent que les utilisateurs concernés auraient intérêt à faire vérifier leurs machines par des personnes ayant des compétences techniques. « Il faudrait peut-être même restaurer les paramètres par défaut de ces ordinateurs », a déclaré Jenny Shearer.
« Souvent, une machine infectée a beaucoup plus qu'un seul problème », a convenu Dan Philpott, spécialiste de la sécurité au niveau fédéral pour le District de Washington DC. En effet, selon le FBI, les pirates ont profité de vulnérabilités présentes dans le système Windows de Microsoft pour installer des logiciels malveillants sur les ordinateurs des victimes. Ces malware ont désactivé la mise à jour des logiciels antivirus et les ont reprogrammer pour utiliser des serveurs DNS voyous hébergés dans des datacenter situés en Estonie, à New York et à Chicago, tous propriétés des cybercriminels. Les ordinateurs pouvaient ensuite être redirigés vers des versions frauduleuses de plusieurs sites web, puisque les utilisateurs accédaient en réalité à une fausse version de l'Internet.
Un faux réseau pour tromper les utilisateurs
Comme l'avait écrit l'expert en sécurité Eric Cissorsky au mois de février sur Infosec Island, « la fonction de DNSChanger était de rediriger les systèmes infectés vers des destinations malveillantes. En retour, ces sites installaient d'autres logiciels malveillants. Il est probable que des Chevaux de Troie comme Zlob, TDSS, Alureon, TidServ, et TLD4 ont été installés sur les systèmes DNSChanger infectés ». Cette semaine, dans une interview, Eric Cissorsky a déclaré que les utilisateurs infectés par DNSChanger devaient effectuer un scan de virus hors ligne, avec des utilitaires dans le genre de MS Windows Defender Offline, pour détecter et éliminer tout autre malware présent sur leur machine ».
Et pour ceux qui ne savent pas si leur machine est infectée, « tous les principaux vendeurs offrent un certain type d'outils gratuits pour réaliser des scans de virus en ligne. Plusieurs offrent même des anti-virus hors ligne gratuits. En cas de doute, celui-ci conseille de refaire le scan plusieurs fois et d'utiliser les outils de plusieurs vendeurs différents.
Le FBI estime que, même si le nombre d'utilisateurs touchés a diminué, il resterait environ 85 000 machines infectées aux États-Unis. Une nouvelle prolongation de la durée de vie des serveurs au-delà de la date limite du 9 juillet n'est pas envisagée. « Dès le départ, il était prévu que cette solution serait temporaire », a déclaré Jenny Shearer.