- Date : 23 Mai 2012

- Criticité : Elevée

- Description :
Google a annoncé le lancement aujourd’hui d’une campagne de sensibilisation des internautes infectés par le cheval de Troie DNSChanger.

Pour rappel, les infrastructures sur lesquelles reposait ce malware, qui opérait en modifiant simplement les serveurs DNS utilisés par le système, avaient été démantelées par le FBI en novembre 2011. À la vue du nombre de systèmes compromis et d’internautes concernés, la justice américaine avait alors autorisé le FBI à maintenir le serveur de commande et de contrôle actif, afin de ne pas purement et simplement "déconnecter" les internautes. Le 8 mars dernier, le mandat de FBI prenait fin. Mais la justice a prolongé ce dernier jusqu’au 8 juillet, estimant que le nombre d’internautes concernés était toujours particulièrement élevé, et ce malgré les différentes mesures de sensibilisation et de communication prises (voir CXA-2012-0344).

En effet, nombre d’entités liées à Internet et au monde de la sécurité avaient mis en place des sites Internet accessibles aux URL de la forme "dns-ok.TLD", permettant aux internautes de savoir facilement si leur système était compromis ou non.

Mais le nombre de systèmes compromis est toujours relativement élevé. Avec la mesure prise par Google, le nombre d’internautes sensibilisés aux problèmes engendrés par le malware DNSChanger devrait grimper en flèche. En effet, le géant de la recherche a lancé aujourd’hui une campagne de sensibilisation importante. Chaque victime effectuant une recherche sur Google verra apparaître une boite de dialogue l’avertissant du problème, et l’incitant à prendre les mesures adéquates pour y remédier. Selon les estimations de Google, environ 500 000 internautes devraient ainsi être alertés en une semaine au travers de cette nouvelle campagne de communication.

Ce n’est pas la première fois que Google procède ainsi pour alerter les internautes de la compromission de leur système. En juillet 2011, le géant de la recherche avait ainsi alerté nombre d’internautes dont les systèmes avaient été compromis par un autre logiciel malveillant (voir CXA-2011-1190). Cependant, Google n’est pas en mesure d’alerter plus souvent les internautes faute d’être en mesure de détecter avec précision les internautes concernés. En effet, peu de malwares possèdent une signature suffisamment claire pour pouvoir être détectés au travers d’un simple navigateur web.

Pour rappel, les internautes peuvent savoir si leur système est compromis en visitant l’une des pages suivantes :
– www.dns-ok.us
– www.dns-ok.de
– www.dns-ok.fi
– www.dns-ok.ax
– www.dns-ok.be
– www.dns-ok.fr
– www.dns-ok.ca
– www.dns-ok.lu
– www.dns-ok.nl
– dns-ok.gov.au
– dns-changer.eu
– dnschanger.detect.my

- Référence :

http://googleonlinesecurity.blogspot.com/2012/05/notifying-users-affected-by-dnschanger.html

http://krebsonsecurity.com/2012/05/google-to-warn-500000-of-dns-changer-infections/

http://www.dcwg.org/

http://www.fbi.gov/news/stories/2011/november/malware_110911

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0266

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0344

http://googleonlinesecurity.blogspot.fr/2011/07/using-data-to-protect-people-from.html

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1190

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0875