- Door
- Arnout Veenman
- geplaatst op
- 13 juni 2008 08:06 uur
Een Trojaans paard gebruikt een nieuwe manier om slachtoffers naar kwaadaardige websites door te sturen. Zlob / DNS Changer, zoals de malware heet, zoekt in het netwerk waar de geïnfecteerde machine in staat naar routers en probeert daar met behulp van een lijst van standaard logingegevens en mogelijk ook met behulp van Univeral Plugin and Play (UPnP), de DNS-instellingen van de router te wijzigen. Alle machines die gebruik maken van de DNS resolver van de router lopen daarna via een DNS-server van de aanvaller, waardoor een Man-in-the-Middle aanval mogelijk is, meldt Security.nl
Zlob is de meeste actieve Trojan van dit moment. In de laatste helft van 2007 werd Zlob door de Microsoft’s Malicious Software Removal Tool van 14 miljoen PC’s verwijderd. Overigens besmet de Zlob Trojan niet alleen Windows PC’s maar ook Mac’s zijn vatbaar. Doordat Zlob de DNS-instellingen van de router aanpast, blijft het DNS-verkeer gekaapt ook al wordt Zlob verwijderd, terwijl de gemiddelde gebruiker denkt dat het probleem dan is opgelost.
Vaak is het zo dat als er één malware maker succes heeft met een bepaalde nieuwe techniek, dat er snel meer zullen volgen. Het is dus te verwachten dat er meer malware op de markt zal komen die routers aanvalt en DNS-instellingen zal wijzigen. Zou de opkomst van dit soort malware de noodzaakt en komst van DNSSEC kunnen versnellen? Met DNSSEC zijn DNS entries gesigneerd is en zodra het resultaat van een DNS query wordt veranderd door een Man-in-the-Middle aanval of door een malafide DNS resolver, dan kan dat meteen worden gedetecteerd. Lees de korte introductie over DNSSEC door Ted Lindgreen (NLnetlabs).