L’opération Ghost Click menée en novembre 2011 par le FBI et d’autres entités internationales a été une réussite. Le responsable de l’infection DNSChanger a été mis sous les verrous et ses serveurs DNS compromis sont maintenant sous le contrôle du FBI.

Quelles sont les actions de DNSChanger ?

Ce cheval de Troie modifie les paramètres DNS du système Windows infecté. En modifiant ces paramètres de connexion, le cybercriminel est alors capable de rediriger à sa convenance la navigation Internet de tous les ordinateurs infectés. Affichage de publicités spécifiques (menant par exemple vers des produits pharmaceutiques douteux), redirection vers un site d’hameçonnage pour la collecte d’information bancaire, etc. Le contrôle total de la navigation Internet de l’utilisateur ciblé donne accès à un très large panel d’attaques. Ce code n’est pas seulement capable de modifier les paramètres système. Il peut aussi accéder à certains modèles de routeur Internet (en utilisant les mots de passe courants) et en modifier les adresses DNS.

Que se passera-t-il le 8 mars 2012 ?

Le FBI contrôle aujourd’hui les serveurs DNS compromis. Ces serveurs redirigent actuellement toute la navigation des personnes infectées normalement vers les sites demandés. Cela signifie que beaucoup d’utilisateurs (environ 4 millions selon le FBI) utilisent actuellement des configurations DNS non conformes et qui ne seront plus disponibles lorsque le FBI arrêtera ces serveurs. L’arrêt est prévu le 8 mars 2012.