DNSChanger - Зловреден софтуер, който насочва маршрутизаторите ви чрез уеб браузър
Зловредният софтуер, който е насочен към компютрите, е доста разпространен, но зловреден софтуер, който е насочен към рутери са съвсем друго нещо. Изследователи от охранителната фирма Proofpoint открили, че начинът, по който работи, е подобен на наскоро откриха стегановия зловреден софтуер.
Зловредният софтуер се нарича DNSChanger, и се разпространява чрез реклами, покрити със злонамерен софтуер които се обслужват от големи рекламни мрежи. DNSChanger първо ще стане проверете IP адреса на посетителя, за да видите дали той е в обхвата. Ако адресът е не попада в целевия диапазон, DNSChanger ще създаване на реклами за примамки, които са чисти.
От друга страна, ако адресът попада в обхвата, злонамереният софтуер ще го направи публикува фалшива реклама, която скрива експлоатационния код в метаданните на PNG изображение.
След като злонамереният код успее да се промъкне в компютъра на целта, той предизвиква целта да се свърже със страница, която хоства DNSChanger. Уебсайтът ще извърши още едно сканиране, за да се увери, че IP адресът на целта е в рамките на целевия обхват и когато бъде потвърден, сайтът ще го направи покаже второ изображение, което съдържа кода на експлоатацията.
Какво се случва след това зависи от модела на рутера, който DNSChanger атакува. Ако модела на рутера има познати подвизи, DNSChanger ще използват тези подвизи, за да променят DNS записите в маршрутизатора. Когато е възможно, направете достъпните административни портове от външни адреси.
Ако рутера има няма известни подвизи, DNSChanger ще се опита използвайте идентификационни данни по подразбиране за да получите достъп до рутера. Ако рутера има няма познати експлойти и известни пароли, тогава зловредният софтуер изостави атаката.
Ако приемем, че успява да получи достъп до маршрутизатора, DNSChanger е в състояние принуди свързваните компютри да се свързват с сайтове-измамници които са визуално идентични с реалните.
Proofpoint установи, че зловредният софтуер изглежда фалшифициране на IP адреси за да пренасочване на трафика от рекламните агенции в полза на рекламни мрежи, известни като Fogzy и TrafficBroker.
В момента Proofpoint спомена, че е така невъзможно е да се назоват всички маршрутизатори, които са податливи на DNSChanger. Въпреки това, Proofpoint информира петте модела рутери, които могат да бъдат компрометирани от този конкретен зловреден софтуер.
За да се предпазите от DNSChanger, Proofpoint препоръча това Вашите маршрутизатори се актуализират до най-новия наличен фърмуер и е защитени с дълго, произволно генерирана парола. Допълнително, изключване на отдалечено администриране и промяна на локалния IP адрес на рутера е ефективна превантивна мярка.