Trojan mení nastavenie DNS servera na domácich routroch

DSL.sk, 20.6.2008

Antivírusové spoločnosti zachytili novú verziu trojana DNSChanger, varianty trojana Zlob, ktorý sa namiesto zmeny nastavení DNS servera na infikovanom PC snaží zmeniť nastavenia DNS servera na domácom routeri užívateľa.

Trojan sa skúša prihlásiť cez webové rozhranie routerov skúšaním rozličných štandardných alebo obvyklých kombinácií prihlasovacích mien a hesiel. Presný zoznam typov routerov, na ktorých webové rozhranie dokáže útočiť, nie je k dispozícii, sú medzi nimi ale minimálne niektoré Linksys a D-Link routre a tiež webové rozhranie DD-WRT firmvéru.

Podľa zistení IT-bezpečnostnej spoločnosti TrustedSource trojan skúša rozličné kombinácie rýchlosťou 10 mien a hesiel za sekundu. Časť zoznamu skúšaných kombinácií zverejnil blog Security Fix, ktorý ako prvý na novú verziu trojana upozornil.

Jeden z prvých škodlivých kódov, ktorý sa snaží zmeniť nastavenia routera, sa objavil na začiatku roka 2008. Bol nebezpečnejší oproti trojanu DNSChanger v spôsobe šírenia, keď nastavenia routera sa snažil zmeniť pomocou Javascriptu v HTML emailoch, útočil ale iba na bezpečnostnú chybu v konkrétnom type domáceho routera.

Nová verzia trojana DNSChanger sa do počítačov dostáva podobne ako predchádzajúce verzie ako falošný kódek pre prehrávania videa po spustení inštalačného súboru užívateľom bez správnych bezpečnostných návykov.

Nový nastavený DNS server sa nachádza na Ukrajine v adresnom rozsahu 85.255.0.0/16, útočníci môžu selektívne pomocou vlastného DNS posielať užívateľa na servery pod svojou kontrolou vydávajúce sa za iné servery. Zároveň DNS resolvuje všetky neexistujúce domény na servery útočníkov.

Oproti prechádzajúcim verziám trojana meniacim nastavenia DNS iba konkrétneho PC pri úspešnej zmene nastavení na routeri a používaní obvyklého DHCP nová verzia umožňuje útočníkom útočiť na všetky PC v LAN, pri existencii trojanov tohto typu je zároveň väčším rizikom vpustenie cudzieho PC na LAN. Po prípadnej detekcii nového trojana je samozrejme odporúčané skontrolovať aj nastavenia routera a ideálne obnoviť štandardné nastavenia výrobcu.


Najnovšie články:



Diskusia:

jazyk Od: cba | Pridané: 20.6.2008 11:14 resolvuje? rozumiem slovu, ale... Odpovedať Známka: 6.4 Hodnotiť:

Re: jazyk Od: kelňa | Pridané: 20.6.2008 12:35 ... to bude mať asi niečo so solvinou Odpovedať Známka: 7.3 Hodnotiť:

Re: jazyk Od: PCnity2 | Pridané: 20.6.2008 16:26 Este nikdy nikto nevidel hlasku "Cant resolve host name?" :) Odpovedať Známka: -5.0 Hodnotiť:

Re: jazyk Od: wrm | Pridané: 20.6.2008 16:54 Tak takuto hlasku s otaznikom na konci som este nevidel ;))) A co to ma spolocne so slovencinou? V anglictine to znie normalne Odpovedať Známka: 3.3 Hodnotiť:

Re: jazyk Od: wave... | Pridané: 21.6.2008 20:22 ja som mal nejakeho koňa čo mi menil google reklami na porno obrazky(neviem či to nerobil vundo) nebolo to zlé :D Odpovedať Hodnotiť:

Re: jazyk Od reg.: HeckreN | Pridané: 20.6.2008 13:00 Je to pravdepodobne od ang. slova solving = riesit, resp. vyhodnotit, resolving = prehodnotit, poslovencena verzia, resolvuje... moja teoria :P Odpovedať Známka: 6.7 Hodnotiť:

Re: jazyk Od: rsx | Pridané: 20.6.2008 13:08 ty musim mat z aglictiny minimalne statnice Odpovedať Známka: 10.0 Hodnotiť:

Re: jazyk Od reg.: HeckreN | Pridané: 20.6.2008 13:33 To vies, po druhej vysokej skole budes mat tiez take genialne napady ako ja ;) Odpovedať Známka: 3.3 Hodnotiť:

Re: jazyk Od reg.: Uhlik | Pridané: 20.6.2008 15:56 ja som bol tiez dva krat na vysokej skole ... na tej istej :o) ... Odpovedať Známka: 5.0 Hodnotiť:

Re: jazyk Od: jarooood | Pridané: 20.6.2008 20:18 Zeby FEI?? Odpovedať Známka: 3.3 Hodnotiť:

Re: jazyk Od: wave.... | Pridané: 21.6.2008 20:24 ta ja este aj zostanem navyse a mozno aj 2 roky :D Odpovedať Hodnotiť:

Re: jazyk Od reg.: Uhlik | Pridané: 20.6.2008 15:58 if you love her, there is nothing to solving :) ... Odpovedať Známka: -3.3 Hodnotiť:

Re: jazyk Od reg.: idead | Pridané: 20.6.2008 18:50 ... to solve IMHO Odpovedať Známka: 10.0 Hodnotiť:

Re: jazyk Od: rsx | Pridané: 20.6.2008 13:07 na dsl bezna prax kriplit anglictinu so slovencinou. V dohladnej dobe sa priprav na titulky typu: Trojan changuje settingy DNS servra na homackych smerovacoch Odpovedať Známka: 9.1 Hodnotiť:

Re: jazyk Od: t85mm | Pridané: 20.6.2008 13:15 uz dlho som sa tak nenasmial :) Odpovedať Známka: 5.6 Hodnotiť:

Re: jazyk Od: rlolll | Pridané: 20.6.2008 13:28 to mas blbe Odpovedať Známka: 5.0 Hodnotiť:

Re: jazyk Od: t85mm | Pridané: 20.6.2008 13:17 uz dlho som sa tak nenasmial :) Odpovedať Známka: -5.0 Hodnotiť:

Re: jazyk Od: xXxXxXxXx | Pridané: 20.6.2008 16:14 este by som to trochu okorenil: Trojan horse changuje settings DNS servera na home routeroch. Este viac a uz by to bolo cele po anglicky:-) Odpovedať Známka: 2.5 Hodnotiť:

Re: jazyk Od: fotograf | Pridané: 21.6.2008 0:54 jooooo, dobreee :-)) Odpovedať Hodnotiť:

:---) Od: wrm | Pridané: 20.6.2008 11:15 holt, ked si niekto nechava defaultne hesla na routeri... nic ineho ani cakat nemoze ;) Odpovedať Známka: 7.3 Hodnotiť:

povodne hesla Od: to je jedno | Pridané: 20.6.2008 11:37 Ludi co maju povodne hesla je strasne vela hlavne pri samoinstalacii ked sa neporadia s nikym a instaluju siet sami. Potom je len na skusenosti ci zada admin:admin, admin:epicrouter, admin:1234. Dokonca niektore zariadenia Vam to povedia este pred prihlasenim same :-D Odpovedať Známka: 6.0 Hodnotiť:

Re: povodne hesla Od: 1+1<Anin | Pridané: 20.6.2008 11:49 Vieš, defaultné heslá majú aj svoju obrovskú výhodu najmä pre väčšinu, teda pre laikov. Nezabudnú a nezmenia ich. A napríklad T-Com sa im môže dostať do zariadenia aby omrkli čo sa deje a našli problém. Niekde je to podmienkov poskytovateľa I pripojenia, že užívateľ nesmie zmeniť heslo. Odpovedať Známka: -8.8 Hodnotiť:

Re: povodne hesla Od: pol77 | Pridané: 20.6.2008 12:01 kde konkretne je to podmienkou? Odpovedať Známka: 6.7 Hodnotiť:

Re: povodne hesla Od: 1+1<Anin | Pridané: 23.6.2008 7:33 T-Com a firmy. Odpovedať Hodnotiť:

Re: povodne hesla Od: wrm | Pridané: 20.6.2008 12:56 Zase drizdas hovadiny! Ake vyhody maju defaultne hesla? To tam uz rovno ziadne nemusi byt. Laik by vobec nemal mat pristup ku configom. A ked chce nejaky poskytovatel davat taketo podmienky, tak urcite tam nenechava defaultne heslo, ale ho zmeni. Odpovedať Známka: 6.7 Hodnotiť:

Re: povodne hesla Od: 1+1<Anin | Pridané: 23.6.2008 7:36 Laik ani nevie ako sa cez default heslo dostane niekam, ono nestačí vedieť len to heslo, ako si si iste všimol... Defaultne heslo je vtedy, ak je zariadenie vlastníctvom zákazníka. Zmenené heslo a zákaz jeho nabúrania a následnej zmeny platí pre firemných zákazníkov, kde router spravuje napr. spoločnosť T-Com. Odpovedať Hodnotiť:

Re: povodne hesla Od: awdawd | Pridané: 20.6.2008 13:09 AAAaaaaa ha ha haaaa :D ... tak takto dobre som sa uz fakt dlho nezasmial... teba by nemali pustat za klavesnicu, lebo nevies co pises :D... to je ako povedat:"Ved to je obrovska vyhoda mat PIN kod 0000, to sa predsa nezabudne..." Odpovedať Známka: 6.0 Hodnotiť:

Re: povodne hesla Od: ehmm | Pridané: 20.6.2008 13:19 ja mam napriklad 1111 a som snim maximalne spokojny, vrele odporucam ;) Odpovedať Známka: 4.3 Hodnotiť:

Re: povodne hesla Od: El nino | Pridané: 21.6.2008 21:15 kolega mal pin 0000 a museli mu to zmeniť lebo vraj 0 neni číslo...chachaa Odpovedať Hodnotiť:

Re: povodne hesla Od: hehehe | Pridané: 20.6.2008 13:36 na vsetkych routeroch je defaultne zakazane vzdialene prihlasovanie, povolene je iba lokalne... co som aj mal moznost vidiet rozne routre od T-comu, vsade to bolo zakazane, takze tym to nebude ;) navyse, myslis si, ze keby to bolo povolene, tak by sa utocnici trapili s nejakym trojanom, ktory sa instaluje cez kodek, ktory mozes ziskat len prechadzanim porno stranok? nemali by nahodou jednoduchsie utocit priamo z internetu na IP adresy nejakeho poskytovatela (bolo by to aj cielenejsie)!? ;) Odpovedať Známka: 5.0 Hodnotiť:

Re: povodne hesla Od: JFK......................... | Pridané: 20.6.2008 14:10 Odbornik sa zasa ozval. Odpovedať Hodnotiť:

ehm???? Od: hmmmm | Pridané: 20.6.2008 13:51 NECHAPEM ZE NACO SEM CHODIA TAKY TRAPACI, CO STALE LEN OHOVARAJU TO AKO JE NAPISANY CLANOK A AKE SU V NOM CHYBY.... pre redakciu: MOHLI BY STE SA VELMI VAZNE ZAMYSLIET NAD DVOMA DISKUSIAMI K CLANKU, PRICOM V TEJ DRUHEJ SA BUDE DEBATOVAT O SPISOVNOSTI CLANKU A V DRUHEJ SA BUDU NECHAVAT LEN KOMENTARE KTORE SA MOZNO ANI NETYKAJU CLANKU, ALE NIE SU HLAVNE O TOM AKYM GRAMATICKY NEKOREKTNYM SPOSOBOM BOL NAPISANY DANY CLANOK................................ Odpovedať Známka: 3.3 Hodnotiť:

Re: ehm???? Od: trigger* | Pridané: 20.6.2008 13:57 ku kazdemu clanku aspon jedno samostatne forum! Odpovedať Hodnotiť:

Re: ehm???? Od: hehehe | Pridané: 20.6.2008 14:10 ja som najskor rozmyslal nad tromi: 1.k veci 2.gramatika 3.offtopic ale potom som si precital niekolko diskusii a zistil som, ze ta prva by bola uplne zbytocna :D :D Odpovedať Známka: 7.8 Hodnotiť:

Re: ehm???? Od reg.: _fuxo | Pridané: 20.6.2008 17:40 Este si zabudol na tu najdolezitejsiu, vytvorenu specialne pre "1+1<Anin". Nech si tam pusta svoje rozumy a nech uz ostatnym navstevnikom nezerie nervy. Odpovedať Známka: 5.0 Hodnotiť:

Re: ehm???? Od: Heheh | Pridané: 20.6.2008 19:03 100 bodov Odpovedať Hodnotiť:

Re: ehm???? Od: kmot | Pridané: 21.6.2008 23:29 :D:D:D:D a samozrejme by tam mohol len on prispievat, aby mu nikto nemohol oponovat na jeho bludy Odpovedať Hodnotiť:

Re: ehm???? Od: fotograf | Pridané: 21.6.2008 0:58 tri je malo :-)) Odpovedať Hodnotiť:

Default Od: driver123 | Pridané: 20.6.2008 14:09 Neviete niekto poradit?Mam D-Link wi-fi router a ked je vypnuty z elektrickej siete, tak sa mi defaultnu hodnoty VPI a VCI (v nastaveniach WAN) a nejde mi tak net (T-Com). Vsetky ostatne nastavenia ostanu ok,len toto sa meni. Odpovedať Hodnotiť:

Re: Default Od: wrm | Pridané: 20.6.2008 14:30 to preto ze nemas Operu :)))) ale nie... Skus updatnut firmware. Zrejme je tam nejaka stara verzia, ktora mala tento bug ;) Odpovedať Hodnotiť:

Re: Default Od: Bzucko26 | Pridané: 24.6.2008 11:05 Dovod je taky, ze nastavenia trvale neulozis, iba ich aplikujes. V tools je tlacitko Save and reboot ;) Odpovedať Hodnotiť:

hmmmmmm Od reg.: mr.Kecup | Pridané: 20.6.2008 14:51 taketo nieco som uz mal...zmenilo mi to DNS nastavenia Odpovedať Hodnotiť:

virus Od: nika1211 | Pridané: 20.6.2008 16:09 tak ked mam tohto trojana ako sa ho mam zbavit? Odpovedať Hodnotiť:

Re: virus Od: dras | Pridané: 20.6.2008 20:09 skusal si to vypnut/zapnut? Odpovedať Známka: 3.3 Hodnotiť:

trojan na linuxoch Od: Cigareta | Pridané: 20.6.2008 21:38 Nechapem ako mozu byt na linuxoch nejake trojany. Alebo to sa bezne dava Windows na routeri? Odpovedať Hodnotiť:

Re: trojan na linuxoch Od reg.: Brano-BSdesign | Pridané: 20.6.2008 23:44 no moj,ty si z toho dobre vypukany.. Precitaj najprv knizku PC PRE KAZDEHO,nech rozoznas jeho casti., Neznasam ked nekdo pise,Mam linuxy,mam windowsy,omg! Mam linux,mam windows! (ak mas twin boot,tak pouzi plural) Takze, pojde to a to na linuxe? Nie na linuxoch! Aspon podla mna je to kravina Odpovedať Známka: 0.0 Hodnotiť:

Re: trojan na linuxoch Od: Buntu | Pridané: 23.6.2008 9:27 Podla mna nemas sajnu co pises :-) Odpovedať Hodnotiť:

Re: trojan na linuxoch Od: lolec | Pridané: 21.6.2008 6:01 Ty si tlk, sak to ide cez web rozhranie, idiot Odpovedať Hodnotiť:

Re: trojan na linuxoch Od reg.: ShodanN | Pridané: 21.6.2008 12:18 Taaaakze linux je presne tak isto deravy ako windows, nevedie ani jeden ani druhy ... pripadne, na NDSS 08 sa ani nepodarilo samotnu vistu bez inych na nej spustenych programov prelomit, zatial co neviem uz aka distribucia linuxu padla za tri minuty (tusim) .... ale pre niekoho kto pise "skodlivy kod" a chce ryzovat na bootnet sietach sa neoplati utocit na unixove systemy, ktore su zvacsa spravovane "skusenejsimi" uzivatelmi, a ktorych je nasobne menej... cely svet pouziva windows, ci uz sa to paci alebo nie, a preto sa cely svet rype vo windowse ... Odpovedať Hodnotiť:

Re: trojan na linuxoch Od: linuxrulz | Pridané: 21.6.2008 14:37 :D:Dlol tak ten test si asi videl iba na obrazku z dialky.. pretoze do linuxu sa nedostali ani za 3 dni hackovania.. sa preber.. chlapec ze za 3 minuty?? .. to aj windows XP dlhsie vydrzal.. a ked uz vravis o super viste.. nepodarilo sa ju prelomit cez LAN rozhranie ale cez internet sla dole po podhodeni emailu alebo cez chybu v aplikacii za par minut dole.. a linux nedali ani tak ani tak.. takze neviem co to trepes.. a ked uz tak tak linux mozno je deravy.. ale cez te diery sa nejaky hacker nedostane.. alebo ked si to vezmes vacsina virusov je mierenych na MS cize na Windows a na linux toho vela neni .. tam si moze taky trojan akurat tak obhryzat usi.. Odpovedať Hodnotiť:

linuxoch Od reg.: catchcash | Pridané: 21.6.2008 0:03 myslim ze ak beries do uvahy ubuntu, debian a este kadejake ine tak potom sa kludne moze povedat aj linuxoch :) ale mam len jednu vysku mozem sa mylit :-O Odpovedať Hodnotiť:

dsfdsfsdf Od: dsfdsfsdfdf | Pridané: 21.6.2008 18:29 DNS znamena domain name server slovo servera tam uz vobec nema byt Odpovedať Hodnotiť:

Re: dsfdsfsdf Od: Josef K | Pridané: 21.6.2008 20:18 DNS znamena Domain Name System Odpovedať Hodnotiť:

Re: dsfdsfsdf Od: janko hrasko! | Pridané: 22.6.2008 15:20 http://en.wikipedia.org/wiki/Domain_Name_System dalsi taky co potrebuje vlastne forum... Odpovedať Hodnotiť:

Trojan Od: Amater | Pridané: 24.6.2008 11:31 Pozerám že dobre sa zabávate.Ale ako amatér neviem ako tomu aspoň z časti zamedziť.IP adresu pripojenie získa automaticky (tak to mám nastavené)či pomôžem ju zadať fixne a netuším ako sa dá router aktualizovať a vôbec sa donho dostať. Odpovedať Hodnotiť:

Re: Trojan Od: Bozzz | Pridané: 24.6.2008 18:39 Ľahko. Kladivom. Odpovedať Hodnotiť:

Amater Od: Trojan | Pridané: 24.6.2008 20:19 Pekná odpoveď = IQ hojdacieho koňa = 2 (hore dole) Odpovedať Hodnotiť:

Pridať komentár