Trojan past instellingen router aan
Gepubliceerd: Vrijdag 13 juni 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Recente versies van de Zlob-trojan proberen de instellingen van de router van een slachtoffer aan te passen.
Zlob (ook wel bekend als DNSChanger) probeert het wachtwoord te raden dat nodig is om het beheer van de router over te nemen. Dat doet de trojan met behulp van een lijst met standaard combinaties van gebruikersnamen en wachtwoorden voor routers, zo meldt security-blogger Brian Krebs.
De malware past de domain name system (DNS) records van het slachtoffer aan. Als Zlob daarin slaagt, wordt vervolgens al het verkeer van het slachtoffer omgeleid via servers die in handen zijn van de (vermoedelijk Russische) makers van het Trojaanse Paard.
De gevolgen van de door de Zlob toegepaste techniek kan verstrekkende gevolgen hebben. Als een Windows-gebruiker er in slaagt om Zlob van zijn pc te wissen, betekent dat immers nog niet dat de instellingen van zijn router weer normaal worden. Zolang de internetverbinding het normaal doet, zullen maar weinig gebruikers die settings controleren.
Zlob is één van de meest wijd verspreide trojans. In de tweede helft van 2007 werd de malware van ongeveer 14,3 miljoen pc's verwijderd met behulp van de Malicious Software Removal Tool (MSRT) van Microsoft. Daarmee is Zlob een stuk actiever dan bijvoorbeeld de roemruchte Storm Worm.
De infectie met Zlob vindt plaats als gebruikers een zogenaamde video codec installeren die nodig zou zijn voor het bekijken van content op bepaalde sites. In werkelijkheid is het bestand geen codec, maar malware.
Bron: Techworld
