Enero marcó el medio tiempo para que los expertos del DNS Changer Working Group (DCWG), ejecutaran los servidores DNS que originalmente, fueran usados en la botnet Rove. Desde que el multinacional grupo de trabajo desmantelara la banda Operation Ghost Click, a principios de noviembre de 2011, el DCWG se ha encargado de poner a trabajar los servidores, corazón de la botnet con la finalidad de mantener las máquinas infectadas que dependen de estos servidores. En estos cuatro años de existencia, Rove logró infectar alrededor de cuatro millones de máquinas.

Su modo de operación es simple: en las máquinas infectadas reemplaza el registro de los servidores DNS con sus propios servidores, los cuales permiten redirigir todo el tráfico de las máquinas infectadas a sus propios servicios. Esto brinda a los atacantes un poder ilimitado sobre las máquinas infectadas, permitiéndoles interceptar cualquier tipo de peticiones realizadas a la Internet. Por ejemplo, podrían reemplazar todas las peticiones de descarga por determinados programas, mientras el usuario cree estar descargando iTunes, realmente puede ser una versión de iTunes como puerta trasera, para todos los efectos y propósitos, la aplicación puede comportarse normal, pero también permitiría a los atacantes instalar herramientas de administración remota. Pueden ser capaces de reordenar las búsquedas realizadas por el usuario e influenciar en la toma de decisiones, intercambiando complementos que muestren las afinidades del usuario.

Pero la misión del DCWG es por tiempo limitado. En noviembre del 2011, pusieron a trabajar los servidores por un período de 120 días.  Apagarán los servidores en marzo, y cualquiera que siga utilizando estos servidores como DNS, perderán acceso a Internet, como el servicio de DNS se encarga de traducir las peticiones realizadas a los sitios web, como www.facebook.com a su equivalente en dirección IP 69.171.229.16.  Una vez que los DNS sean detenidos el usuario verá una pantalla como la siguiente:

Créditos: Help Net Security

Afortunadamente, es relativamente fácil verificar si alguna máquina está afectada por Rove. Sólo se debe revisar si los servidores DNS se dividen en los cinco rangos de direcciones IP que estaban bajo el control de los operadores de Rove. La forma más sencilla de hacerlo en Windows, es ejecutar el plugin BrowserCheck Qualys que recientemente ha sido equipado con capacidades de detección de Rove (ver imagen).

       
Créditos: Help Net Security      

Si su equipo se ve inseguro bajo la cabecera del DNS Changer, es necesario realizar unos sencillos pasos para corregirlo. Se ofrece más información  sobre cómo corregir los servidores de DNS, haga clic en el botón FixIt, pero básicamente sólo tiene que reiniciar los servidores DNS que utiliza. En Windows se utiliza el Panel de Control para modificar los servidores DNS. Haga clic en Inicio, Panel de Control, Conexiones de red, a continuación, clic derecho sobre el icono que identifica su conexión, y seleccione Propiedades, Protocolo Internet (TCP/IP) y haga clic en el botón Propiedades. Esto le llevará a la pantalla de los servidores DNS configurados. En esta parte, seleccione Obtener una dirección de servidor DNS automáticamente,  pulse Aceptar y Cerrar.  

Después de realizar lo anterior, se debe registrar la infección en el sitio web del FBI, ya que ayudará a fortalecer el caso contra los operadores de Rove.