DNSChanger - Malware, die Ihre Router über einen Webbrowser anspricht
Malware, die auf Computer abzielt, ist jedoch eher verbreitet Malware, die auf Router abzielt sind eine ganz andere Sache. Forscher der Sicherheitsfirma Proofpoint haben entdeckt, dass die Art und Weise, in der sie funktioniert, ähnlich ist wie kürzlich entdeckte Stegano-Malware.
Die Malware wird aufgerufen DNSChanger, und es verbreitet sich über Malware-gefesselte Anzeigen die von großen Werbenetzwerken geliefert werden. DNSChanger wird zuerst Überprüfen Sie die IP-Adresse des Besuchers, um zu sehen, ob er sich innerhalb des Bereichs befindet. Wenn die Adresse liegt nicht innerhalb des Zielbereichs, DNSChanger wird Richten Sie Köderanzeigen ein, die sauber sind.
Wenn die Adresse jedoch in einen Bereich fällt, würde die Malware dies tun eine gefälschte Anzeige veröffentlichen, in der Exploit-Code in den Metadaten verborgen wird eines PNG-Bildes.
Sobald sich der Schadcode in den PC des Ziels eingeschlichen hat, wird dies verursacht Das Ziel, eine Verbindung zu einer Seite herzustellen, die DNSChanger hostet. Die Website führt einen weiteren Scan durch, um sicherzustellen, dass sich die IP-Adresse des Ziels innerhalb des Zielbereichs befindet. Wenn dies bestätigt wird, würde die Website dies tun ein zweites Bild anzeigen, das den Exploit-Code enthält.
Was als nächstes passiert, hängt vom Routermodell ab, das DNSChanger angreift. Wenn die Router-Modell hat bekannte Exploits, wird DNSChanger Verwenden Sie diese Exploits, um die DNS-Einträge im Router zu ändern. Wenn möglich, Administrationsports von externen Adressen verfügbar machen.
Wenn der Router hat Keine bekannten Exploits, DNSChanger würde es versuchen Verwenden Sie Standardanmeldeinformationen Zugang zum Router erhalten. Wenn der Router hat Keine bekannten Exploits und keine bekannten Passwörter, die Malware würde dann den Angriff aufgeben.
Vorausgesetzt, es schafft den Zugriff auf den Router, kann DNSChanger dies tun erzwingen, dass verbundene Computer eine Verbindung zu Betrügern herstellen das sind visuell identisch mit dem realen.
Proofpoint hat herausgefunden, dass es sich bei der Malware um scheinbar handelt Verfälschung von IP-Adressen damit Verkehr von Werbeagenturen umleiten zugunsten des Werbenetzwerks Fogzy und TrafficBroker.
Im Moment hat Proofpoint erwähnt, dass es so ist Es ist unmöglich, alle für DNSChanger anfälligen Router zu benennen. Proofpoint hat jedoch die fünf Routermodelle informiert, die durch diese bestimmte Malware gefährdet werden können.
Um sich vor DNSChanger zu schützen, hat Proofpoint dies empfohlen Ihre Router werden auf die neueste verfügbare Firmware aktualisiert und ist geschützt mit einer lange, zufällig generiertes Passwort. zusätzlich, Fernverwaltung deaktivieren und Ändern der lokalen Standard-IP-Adresse des Routers ist eine wirksame vorbeugende Maßnahme.