Antivírusové spoločnosti zachytili novú verziu trojana DNSChanger, varianty trojana Zlob, ktorý sa namiesto zmeny nastavení DNS servera na infikovanom PC snaží zmeniť nastavenia DNS servera na domácom routeri užívateľa.

Trojan sa skúša prihlásiť cez webové rozhranie routerov skúšaním rozličných štandardných alebo obvyklých kombinácií prihlasovacích mien a hesiel. Presný zoznam typov routerov, na ktorých webové rozhranie dokáže útočiť, nie je k dispozícii, sú medzi nimi ale minimálne niektoré Linksys a D-Link routre a tiež webové rozhranie DD-WRT firmvéru.

Podľa zistení IT-bezpečnostnej spoločnosti TrustedSource trojan skúša rozličné kombinácie rýchlosťou 10 mien a hesiel za sekundu. Časť zoznamu skúšaných kombinácií zverejnil blog Security Fix, ktorý ako prvý na novú verziu trojana upozornil.

Jeden z prvých škodlivých kódov, ktorý sa snaží zmeniť nastavenia routera, sa objavil na začiatku roka 2008. Bol nebezpečnejší oproti trojanu DNSChanger v spôsobe šírenia, keď nastavenia routera sa snažil zmeniť pomocou Javascriptu v HTML emailoch, útočil ale iba na bezpečnostnú chybu v konkrétnom type domáceho routera.

Nová verzia trojana DNSChanger sa do počítačov dostáva podobne ako predchádzajúce verzie ako falošný kódek pre prehrávania videa po spustení inštalačného súboru užívateľom bez správnych bezpečnostných návykov.

Nový nastavený DNS server sa nachádza na Ukrajine v adresnom rozsahu 85.255.0.0/16, útočníci môžu selektívne pomocou vlastného DNS posielať užívateľa na servery pod svojou kontrolou vydávajúce sa za iné servery. Zároveň DNS resolvuje všetky neexistujúce domény na servery útočníkov.

Oproti prechádzajúcim verziám trojana meniacim nastavenia DNS iba konkrétneho PC pri úspešnej zmene nastavení na routeri a používaní obvyklého DHCP nová verzia umožňuje útočníkom útočiť na všetky PC v LAN, pri existencii trojanov tohto typu je zároveň väčším rizikom vpustenie cudzieho PC na LAN. Po prípadnej detekcii nového trojana je samozrejme odporúčané skontrolovať aj nastavenia routera a ideálne obnoviť štandardné nastavenia výrobcu.

zdroj: dsl.sk