DNS Unlocker appartient à la famille des applications dites potentiellement indésirables. Son but est d'afficher des publicités à la victime. En règle générale, un utilisateur infecté par DNS Unlocker voit des annonces avec une note en bas de page comme "Annonces DNS Unlocker" et de multiples pop-ups qui redirigent vers des escroqueries (scam).
"Le détournement de DNS n’est pas destructif - par rapport à un ransomware - et il a toujours été facile de le corriger. Cependant la nouvelle variante de DNS Unlocker met fin à cet état de fait », commente James Rodewald, ESET Malware Removal Support Supervisor.
Les experts ESET ont trouvé que DNS Unlocker est capable de tromper l'affichage de Windows avec une configuration DNS différente de ce qui avait été défini par défaut :
"L'interface graphique de configuration indique que vous utilisez une adresse de serveur DNS automatique, alors qu’en réalité vous utilisez des adresses statiques. Cette technique de détournement de DNS force l'utilisation de serveurs DNS cachés. Cela rend le problème très difficile à résoudre pour les utilisateurs ", explique James Rodewald.
Le 10 mai 2016, les experts ESET ont découvert l’escroquerie et ont identifié que le problème repose sur la façon dont Windows gère les adresses DNS. Un message fut adressé avec les détails à Microsoft. Le centre de réponses Microsoft Security (MSRC) a reconnu le problème, mais ne l'a malheureusement pas classé comme une vulnérabilité de sécurité : "Comme la modification du registre nécessite des privilèges administrateur, nous ne considérons pas que cela soit du ressort du service MSRC".
"Microsoft corrigera tout de même ce retour dans les futures versions de Windows. D’ici là, les utilisateurs doivent être conscients de la possibilité d’un détournement de DNS », commente Marc-Etienne Léveillé, ESET Malware Researcher qui a participé à la recherche.
Les experts ESET fournissent un ensemble de conseils à la fois préventifs et curatifs :
- Ne surfez pas sur le web avec des privilèges d'administrateur. Utilisez-les uniquement en cas de besoin
- Si vous voyez un nombre important de fenêtres de publicités et surtout si elles portent la mention "Ads by DNS Unlocker", vérifiez vos paramètres DNS dans le volet avancé des paramètres TCP/IP
- Si une fenêtre pop-up apparaît en proposant une offre de support, soyez extrêmement prudent et avant toute autre action, vérifiez vos paramètres DNS
- En cas de doute sur les paramètres DNS, vous pouvez supprimer les mauvaises entrées DNS dans l'onglet DNS de la page Paramètres TCP/IP avancés. Analysez votre ordinateur avec le scanner ESET en ligne pour supprimer le logiciel malveillant DNS Unlocker et arrêter l’usurpation de vos paramètres DNS
- Suivez toutes les règles de base pour une utilisation sécurisée d’Internet, notamment avec une solution de sécurité de qualité comme ESET Smart Security qui protège pleinement contre les DNS Unlocker