DNSChanger - это троянец для перехвата DNS.Работа эстонской компании Rove Digital, вредоносная программа заражала компьютеры, изменяя записи DNS компьютера так, чтобы они указывали на собственные нелегальные серверы имен, которые затем внедряли собственную рекламу на веб-страницы. На пике своего развития DNSChanger, по оценкам, заразил более четырех миллионов компьютеров, принеся своему оператору не менее 14 миллионов долларов США прибыли от мошеннических рекламных доходов.
DNSChanger распространялся как в Windows, так и в Mac OS X, причем последний вариант имел форму родственного троянца, известного как RSPlug. ФБР провело рейд на вредоносные серверы 8 ноября 2011 года, но после захвата серверов они продолжали работать, чтобы пострадавшие пользователи не потеряли доступ в Интернет до 9 июля 2012 года.
DNSChanger распространялся в виде загружаемого "по пути" файла, выдавая себя за видеокодек, необходимый для просмотра контента на веб-сайте, особенно на нелегальных порнографических сайтах. После установки вредоносная программа изменяла конфигурацию системы доменных имен (DNS), направляя их на нелегальные серверы имен, управляемые филиалами Rove Digital. Эти нелегальные серверы имен в основном заменяли рекламу на веб-страницах рекламой, продаваемой Rove. Кроме того, нелегальный DNS-сервер перенаправлял ссылки на определенные веб-сайты на сайты рекламодателей, например, перенаправлял веб-сайт налоговой службы на сайт компании по подготовке налогов.
Действие DNSChanger могло распространяться и на другие компьютеры в локальной сети, имитируя DHCP-сервер, направляя другие компьютеры на нелегальные DNS-серверы. В обвинительном заключении против Rove Министерство юстиции США также сообщило, что нелегальные серверы блокировали доступ к серверам обновлений для антивирусного программного обеспечения.
1 октября 2011 года в рамках операции "Ghost Click" (совместное расследование операции) прокурор США по Южному округу Нью-Йорка предъявил обвинения шести гражданам Эстонии и одному гражданину России, связанным с DNSChanger и Rove Digital, в мошенничестве, вторжении в компьютер и сговоре. Эстонские власти произвели аресты, а ФБР конфисковало серверы, связанные с вредоносным ПО, расположенные в США.
В связи с опасениями агентов ФБР, что пользователи, все еще зараженные DNSChanger, могут потерять доступ в Интернет, если нелегальные DNS-серверы будут полностью закрыты, было получено временное постановление суда, позволяющее Консорциуму интернет-систем запустить запасные серверы, которые будут обслуживать DNS-запросы тех, кто еще не удалил инфекцию, и собирать информацию о тех, кто еще заражен, чтобы своевременно уведомить их о наличии вредоносной программы. Хотя срок действия судебного постановления истекал 8 марта 2012 года, оно было продлено до 9 июля 2012 года в связи с опасениями, что зараженных компьютеров все еще много. 4 июля 2012 года компания F-Secure подсчитала, что не менее 300 000 компьютеров все еще заражены вредоносной программой DNSChanger, 70 000 из которых находятся в США. Временные серверы DNS были официально отключены ФБР 9 июля 2012 года.
Влияние отключения было признано минимальным, отчасти благодаря тому, что крупные интернет-провайдеры предоставили временные DNS-серверы и оказали поддержку клиентам, пострадавшим от DNSChanger и информационные кампании вокруг вредоносной программы и предстоящего отключения. Они включали онлайн-инструменты, позволяющие проверить наличие DNSChanger, а Google и Facebook предоставляли уведомления посетителям своих сервисов, которые все еще были затронуты вредоносной программой. К 9 июля 2012 года, по оценкам F-Secure, число оставшихся заражений DNSChanger в США сократилось с 70 000 до 42 000.