Вирус DNSChanger действовал до ноября 2011 года. От него пострадали свыше четырех миллионов пользователей в ста странах. Когда "червь" оказывался на ПК, киберпреступники могли перехватывать DNS-запросы, поступающие от зараженных компьютеров, и перенаправлять пользователей на поддельные сайты. Такая схема позволяла злоумышленникам похищать данные кредитных карт, показывать рекламу и продавать фальшивые антивирусы.

После международного расследования, продолжавшегося около двух лет, осенью 2011 года ФБР провела операцию Operation Ghostclick, в ходе которой удалось закрыть сеть поддельных DNS-серверов. По подозрению в онлайн-мошенничестве были задержаны шесть граждан Эстонии. После ареста преступной группы ФБР в качестве временного решения заменила фальшивые DNS на "чистые" серверы, чтобы тысячи компьютеров не были внезапно отключены от Интернета.

По словам Пола Викси — основателя организации Internet Systems Consortium (ISC), которая занимается поддержкой временных DNS-серверов для ФБР, — DNSChanger подхватили по меньшей мере 500 тысяч ПК в США. В ноябре 2011 года их число снизилось до 275 тысяч. Зараженными оказались компьютеры NASA, учебных заведений, крупных компаний и частных лиц.

Проверить, присутствует ли троян DNSChanger в системе можно на сайтах dnschanger.eu или DNS-ok.us.