El 8 de noviembre, una red de más de 4 millones de bots fue desmantelada por el FBI y la policía de Estonia, en colaboración con Trend Micro y otros socios de la industria.
En esta operación, denominada "Operación Ghost Clic", se aseguraron dos centros de datos en Nueva York y Chicago y más de 100 servidores fueron desconectados. Al mismo tiempo, la policía estonia detuvo a varios miembros en Tartu, Estonia.
La botnet consistía en equipos infectados cuyo nombre de dominio del servidor (DNS) se cambió para que apuntara a direcciones IP extranjeras. Los servidores DNS resuelven los nombres de dominio para las direcciones IP que se asignan a los servidores de un ordenador en Internet. La mayoría de los usuarios de Internet utilizan automáticamente los servidores DNS de su proveedor de servicios Internet.
Los troyanos que modifican DNS cambian silenciosamente la configuración del equipo para uso en el extranjero. Como resultado, las víctimas son redirigidas a sitios web maliciosos, posiblemente sin ser detectados.
Los criminales pueden tomar ventajas del cambio de DNS en los equipos de muchas formas, incluyendo el reemplazo de los anuncios en los sitios web, el secuestro de los resultados de búsqueda e impulsar otros programas maliciosos.
El anuncio del FBI:
http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_110911
http://blog.trendmicro.com/esthost-taken-down-%E2%80%93-biggest-cybercriminal-takedown-in-history/
http://countermeasures.trendmicro.eu/how-to-check-if-you-are-a-victim-of-operation-ghost-click/
Los blogs de Trend:
En el operativo fueron detenidas al menos 7 personas en Estonia y más de 100 servidores han sido incautados.Han sido cuantificadas alrededor de 4 millones de víctimas en más de 100 países. Gracias a estudios realizados por Trend Micro y otros socios industriales, se ha logrado este desmantelamiento.