Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Trojaans paard hackt breedband routers

  • Door
  • Arnout Veenman
  • geplaatst op
  • 13 juni 2008 08:06 uur

Een Trojaans paard gebruikt een nieuwe manier om slachtoffers naar kwaadaardige websites door te sturen. Zlob / DNS Changer, zoals de malware heet, zoekt in het netwerk waar de geïnfecteerde machine in staat naar routers en probeert daar met behulp van een lijst van standaard logingegevens en mogelijk ook met behulp van Univeral Plugin and Play (UPnP), de DNS-instellingen van de router te wijzigen. Alle machines die gebruik maken van de DNS resolver van de router lopen daarna via een DNS-server van de aanvaller, waardoor een Man-in-the-Middle aanval mogelijk is, meldt Security.nl

Zlob is de meeste actieve Trojan van dit moment. In de laatste helft van 2007 werd Zlob door de Microsoft’s Malicious Software Removal Tool van 14 miljoen PC’s verwijderd. Overigens besmet de Zlob Trojan niet alleen Windows PC’s maar ook Mac’s zijn vatbaar. Doordat Zlob de DNS-instellingen van de router aanpast, blijft het DNS-verkeer gekaapt ook al wordt Zlob verwijderd, terwijl de gemiddelde gebruiker denkt dat het probleem dan is opgelost.

Vaak is het zo dat als er één malware maker succes heeft met een bepaalde nieuwe techniek, dat er snel meer zullen volgen. Het is dus te verwachten dat er meer malware op de markt zal komen die routers aanvalt en DNS-instellingen zal wijzigen. Zou de opkomst van dit soort malware de noodzaakt en komst van DNSSEC kunnen versnellen? Met DNSSEC zijn DNS entries gesigneerd is en zodra het resultaat van een DNS query wordt veranderd door een Man-in-the-Middle aanval of door een malafide DNS resolver, dan kan dat meteen worden gedetecteerd. Lees de korte introductie over DNSSEC door Ted Lindgreen (NLnetlabs).

Punica, 13 juni 2008 10:19 am

Routertjes is hier misschien een betere benaming ;)

Arnout Veenman, 13 juni 2008 10:22 am

@Punica, dat is inderdaad wel waar, ik dacht eerst aan 'modems' maar dat was weer feitelijk onjuist. Ik heb er nu 'breedband routers' van gemaakt.

Lennie, 15 juni 2008 10:31 pm

DNSSec zal je hier niet veel helpen, DNSSec zou je dan tot op je desktop-computer moeten controleren, vanaf de root. Als je dat zou kunnen is dat best heel aardig, maar als er malware op die zelfde desktop-computer staat is alles wat die computer dan nog doet eigenlijk al niet meer te vertrouwen.

Er worden nu al ssl-root-certificaten aangebracht door malware.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.