Criminelen verspreiden de DNS-Changer nu via de rootkit TDSS, melden onderzoekers van Dell Secureworks tegenover techsite TheRegister. De ontdekking kwam daags nadat de FBI een grote DNS-fuik oprolde.

Besmetting DNS-changer

De FBI arresteerde vorige week 7 Oost-Europeanen op verdenking van het beheer over de trojan DNS-Changer. Vijf jaar lang zouden zij met de trojan computers hebben besmet om de browsers om te leiden naar malafide webpagina's met advertenties. Hiermee verdienden zij ruim 10 miljoen euro aan advertentie-inkomsten.

De besmetting van DNS-Changer verliep, volgens de FBI, via het bezoeken van malafide websites en het downloaden van software om online video's te bekijken. Gebruikers downloadden hierdoor een bestandje dat automatisch de DNS-instellingen aanpaste.

Über-rootkit

Nu verloopt de verspreiding via de rootkit TDSS, ook wel bekend onder Alureon en TDL4. TDSS is één van de meest geavanceerde rootkits en lastig te verwijderen. De rootkit besmet de master boot record van een pc. Daardoor is het virus lastig te verwijderen, omdat de rootkit opstart voor alle andere programma's

"Het werkelijke gevaar van een DNS-Changerinfectie is dat het een indicator is dat je systeem besmet is met een grote malware cocktail, met malware als Rogue AV, Zeus Banking Trojan, Spam Bot, enzovoort. De controle over DNS geeft een aanvaller letterlijk complete toegang tot het systeem", meldt Dell SecureWorks in een rapport.

600.000 unieke ip-adressen

De FBI meldde vorige week dat de DNS-bende ruim 4 miljoen pc's besmette met de trojan. De onderzoekers denken dat het aantal besmette computers hoger ligt. Tijdens hun analyse zagen ze 600.000 unieke ip-adressen verbinding maken met de (command & control)servers die gebruikt zijn in de aanval.

De FBI gaf een online tool uit waarmee te checken is of een computer besmet is met de trojan. De DNS-adressen van besmette computers verwijzen naar ip-adressen binnen de volgende ip-reeksen:

85.255.112.0 - 85.255.127.255

67.210.0.0 - 67.210.15.255

93.188.160.0 - 93.188.167.255

77.67.83.0 - 77.67.83.255

213.109.64.0 - 213.109.79.255

64.28.176.0 - 64.28.191.255

Bevroren door Nederlandse politie

De administratieve gegevens van vier van bovenstaande ip-reeksen zijn vorige week donderdag door de Europese ip-beheerder RIPE NCC bevroren. De Nederlandse politie sommeerde de ip-beheerder hiertoe op verzoek van de Amerikaanse politie. De ip-reeksen behoren toe aan de bedrijven Front Communications Inc, Promnet Ltd en Prolite Ltd.

Bij het oprollen van de DNS-fuik, verving de FBI de servers van de criminelen door servers van de non-profitpartij Internet Systems Consortium. De reden hiervan was dat de vier miljoen besmette computers voor hun internetverbinding afhankelijk zijn.

Browser updates

Eerder dit jaar werd TDSS ook ingezet bij het omleiden van gebruikers naar malafide sites, meldde beveiligingsbedrijf Kaspersky. Hierbij werden eveneens de DNS-adressen aangepast die gebruikers omleidden naar pagina's met de melding dat hun browser geupdate moest worden. Criminelen zetten TDSS verder in om keyloggers te installeren en andere tool voor het aanvallen van websites.