¿El malware que agrega código a ga.js abre anuncios/sitios web aleatorios?

Me encontré con la situación anterior ayer. Después de mucha investigación, llegué a este hilo, y me llevó a la solución.

Aparentemente, uno de los ordenadores en la red que visité estaba expuesto a un malware que modificó la configuración del router. El router era un D-Link 2760U/E con los detalles de inicio de sesión predeterminados Admin / Admin.

Usando las credenciales anteriores, el mencionado malware ha cambiado las "tablas de enrutamiento estático" añadiendo sus servidores para ser un intermediario. Todo el tráfico no SSL pasaba a través de su servicio que inyectaba js en la página. Encontré una página de GitHub que muestra las modificaciones y adiciones.

Me tomó un tiempo entender que todo el tráfico provenía de un ataque de cambio de DNS - he comprobado y verificado que el ordenador está completamente limpio y que no hay procesos/servicios desconocidos en ejecución antes y durante la prueba.

Una de las cosas que han hecho es redirigir todo el tráfico de google-analytics.com a su servidor, manteniéndose fuera del radar.

Entonces, ¿cómo resolverlo?

Forma rápida:

Restablece tu router a la configuración de fábrica - ten en cuenta que borrará todas las configuraciones existentes.

Forma larga:

1. Inicia sesión en la interfaz web del router
2. Elimina todas las entradas desconocidas de las tablas de enrutamiento estático
3. Cambia la contraseña de inicio de sesión de tu router
4. Reinicia tu router.

Espero que esta publicación ayude a alguien.

Saludos,
Liron

Esto podría ser causado por el malware DNSChanger pero eso ya no existe, así que es posible que sea causado por algún otro tipo de malware que altera la configuración DNS de una computadora (o router). O tal vez el router fue expuesto a la web (ver administración remota) y alguien pudo secuestrarlo y cambiar su configuración DNS.

Si el mismo problema afecta a todos los dispositivos (incluidas las PC) conectados a la red Wi-Fi, entonces supongo que es necesario restablecer el router además de realizar un escaneo de malware en todas las PC conectadas a la red. Puedes utilizar Malwarebytes Anti-Malware para eso.

En el dispositivo Android, borra los datos y la caché de Google Chrome después de haber restablecido el router y completado el escaneo de malware. Este hilo en Google Product Forums podría ser relevante para el problema.

Para probar si este es realmente un problema de secuestro DNS, intenta ejecutar nslookup google-analytics.com desde la computadora infectada (o dispositivo Android si está instalado BusyBox) y compara los resultados con el mismo comando ejecutado desde otra computadora que sabes que está limpia.

Comprueba si ambos devuelven las mismas direcciones IP o, en el caso de Google, direcciones IP controladas por Google. Puedes verificar si una IP dada es de Google o no haciendo una búsqueda WHOIS aquí: http://whois.domaintools.com/X.X.X.X (x.x.x.x siendo la dirección IP)