Há algumas semanas comecei a ter problemas com minha conexão com a internet, ela estava extremamente lenta e de repente alguns sites (especificamente gmail, facebook, youtube e twitter) começaram a falhar na conexão, enquanto o restante se conectava normalmente. Alguns dias depois, esses mesmos sites começaram a me mostrar uma mensagem em português:"Nova atualização disponível"sempre que tentei me conectar e um arquivo .exe começou a ser baixado ("internet_update.exe" ou algo parecido).
Foi quando eu surtei! Definitivamente foi um vírus ou algo parecido, mas foi muito estranho porque nunca tive um problema como esse (eu executo Linux). Então liguei meu PC antigo (com Windows XP) e descobri que ele tinha o mesmo problema! a mesma mensagem aparecia sempre que tentava conectar um desses sites específicos, enquanto o restante carregava sem problemas. Até no meu smartphone Android a mesma mensagem foi mostrada.
Portanto, era óbvio que o problema não estava em uma máquina específica, mas no próprio roteador. Então comecei a pesquisar no Google e encontreialguma informação, infelizmente só encontrei alguns em espanhol, então farei um pequeno resumo:
É um novo trojan bancário desenvolvido especificamente para infectar e coletar informações de bancos brasileiros. Aparentemente agora se expandiu para Argentina e Peru.
Então, como isso funciona? Ele se espalha pelas redes sociais (vídeos, links, ...) e então “assume o controle” da sua conexão com a internet alterando os valores dos seus DNSs. Mais especificamente, altera aDNS primáriopara um destes IPs: 108.170.13.38, 66.7.216.122 ou 63.143.43.154 e oDNS secundáriopara 8.8.8.8, esse DNS secundário é na verdade oDNS público do Google, e está configurado desta forma para que sua conexão com a internet continue funcionando corretamente e o usuário não perceba nada.
O importante aqui é que como nenhum download ou instalação foi feito em sua máquina, nenhum antivírus notará qualquer alteração. Após a alteração dos seus DNSs, o trojan controla todos os sites aos quais você se conecta e, dessa forma, rouba suas informações bancárias.
Então, depois de ler sobre isso, acessei meu roteador e restaurei meus DNSs primário e secundário para seus valores adequados, mas um dia depois tive o mesmo problema novamente.
Na verdade, este é um post de aviso de 50% - 50% me ajude! publicar.
Então, aí vem a pergunta:Existe alguma maneira possível de impedir que meus DNSs sejam alterados?
PS:Desculpe se não é aqui que esta pergunta deveria estar, mas estou meio desesperado, você pode me redirecionar para o site correto?
Responder1
Não sei se isso se aplica neste caso, mas uma maneira pela qual coisas como essa podem ocorrer (raro, mas possível) é um fragmento Flash maligno (baixado e acionado pelo seu navegador sem você saber) redirecionando da sua máquina ao roteador via UPNP e reprogramar o roteador se o roteador aceitar a reconfiguração UPNP.
Mesmo antes de isso se tornar uma ameaça, determinei que o UPNP era inútil para mim e o desativei desde então (provavelmente há 5 anos ou mais) em todos os roteadores que controlo e, além disso, uso servidores DNS estáticos (OpenDNS no meu caso) em todas as máquinas que eu configuro.