DNSChanger

DNSChanger распространялся в виде автоматической загрузки под видом видеокодека, который якобы был необходим для просмотра контента на определённом сайте; особенно часто подобные предложения встречались на вредоносных порнографических сайтах. После установки программа изменяла конфигурацию DNS на компьютере, перенаправляя её на фальшивые имена серверов, которые управлялись через аффилированные структуры, связанные с Rove Digital^[3]. Эти серверы в основном заменяли стандартную рекламу на веб-страницах, подставляя рекламные блоки, продаваемые Rove. Кроме того, вредоносные DNS-серверы перенаправляли ссылки с некоторых сайтов на страницы рекламодателей, например, перенаправляя сайт IRS на веб-страницу компании по подготовке налоговых деклараций^[5]. Воздействие DNSChanger могло распространяться и на другие устройства в одной локальной сети (LAN): вредоносная программа маскировалась под сервер DHCP, перенастраивая другие компьютеры сети на использование фальшивых DNS-серверов^[5]. В обвинительном заключении против Rove Министерство юстиции США также отмечало, что вредоносные серверы блокировали доступ к обновлениям для антивирусных программ^[6]

1 октября 2011 года, в рамках Operation Ghost Click («Операция Призрачный Клик», совместного расследования деятельности сети), Прокуратура Южного округа Нью-Йорка предъявила обвинения шести гражданам Эстонии и одному гражданину России, связанным с DNSChanger и Rove Digital, по статьям о телекоммуникационном мошенничестве, несанкционированный доступ к компьютерам и сговор.^[6]. В Эстонии были проведены задержания, а ФБР изъяло заражённые вредоносным ПО серверы, находившиеся на территории США^[3].

Поскольку сотрудники ФБР опасались, что пользователи, чьи компьютеры оставались заражёнными, полностью потеряют доступ к интернету после отключения вредоносных DNS-серверов, было получено временное судебное решение, позволяющее Internet Systems Consortium эксплуатировать замещающие серверы. Эти сервера обрабатывали DNS-запросы пользователей, не избавившихся от заражения, а также собирали информацию для оперативного информирования о наличии вредоносной программы^[7]. Первоначально действие судебного решения должно было завершиться 8 марта 2012 года, однако впоследствии его продлили до 9 июля 2012 из-за большого числа ещё не вылеченных компьютеров^[5]. По оценке компании F-Secure на 4 июля 2012 года, не менее 300 000 компьютеров во всём мире оставались заражёнными DNSChanger, из них около 70 000 находились в США^[8]. Временные DNS-серверы официально прекратили работу ФБР 9 июля 2012 года^[9].

Влияние от отключения было минимальным, в первую очередь благодаря тому, что крупнейшие интернет-провайдеры включили собственные временные DNS-сервисы и оказывали поддержку своим клиентам. Удачно сработали и информационные кампании, посвящённые вредоносной программе и подготовке к отключению серверов; в частности, в интернете появились инструменты для проверки присутствия DNSChanger на устройстве, а компании Google и Facebook информировали пользователей своих сервисов, если их устройства были заражены^[8]. К 9 июля 2012 года, по данным F-Secure, количество заражённых систем в США уменьшилось с 70 000 до 42 000^[9].