72966

Zlob-Malware manipuliert Router

12.06.2008 | 16:05 Uhr |

Eine komplexere Variante aus der als vorgebliche Codecs verbreiteten Schädlingsfamilie Zlob versucht die Einstellungen des Routers zu verändern. Dadurch werden Web-Aufrufe auf andere Server umgelenkt.

Bereits seit Jahren werden die Trojanischen Pferde der Zlob-Familie als vorgebliche Video-Codecs zum Download angeboten. Spezielle Web-Sites, die überwiegend vorgeben, Links zu Porno-Seiten zu enthalten, führen potenzielle Opfer zu den Download-Seiten für die vermeintlichen Codecs, die vorgeblich benötigt werden, um die Bilder oder Videos anzuzeigen. Lädt ein Anwender den Zlob-Codec herunter und installiert ihn, manipuliert der Schädling die DNS-Einstellungen des Rechners. Neuerdings gibt es auch Varianten, die versuchen auf den DSL-Router zuzugreifen, um dessen Einstellungen zu manipulieren.

Der erste Aufruf des Schädlings bringt zunächst einen unverdächtig erscheinende Startfenster eines Nullsoft-Installers auf den Schirm. Dieses Installationsprogramm zeigt eine abzunickende Lizenzvereinbarung an. Unabhängig davon, welche Schaltfläche betätigt wird, installiert sich das Trojanische Pferd. Die Schaltflächen schließen nur das sichtbare Fenster, die Manipulationen am System oder am Router sind dann bereits erfolgt. Die Zlob-Schädlinge installieren außerdem ein Rootkit, um ihre Existenz zu tarnen.

Der Schädling enthält eine umfangreiche Sammlung von Standardpasswörtern für gängige Router, etwa die von D-Link, Intel, Nokia, Cisco und Linksys. Er ruft die Startseite des in vielen Routern enthaltenen Web-Servers auf und probiert aus, ob das werksseitig voreingestellte Passwort noch funktioniert. Außerdem probiert er gängige Kombinationen aus Benutzername und Passwort aus, etwa "admin:123456" oder "root:pass".

Ist Zlob damit erfolgreich, ändert er die DNS- und DHCP-Einstellungen auf eine von mehreren IP-Adressen (85.255.x.x) in der Ukraine. Dadurch werden DNS-Anfragen aller Rechner, die an diesen Router angeschlossen sind (auch Linux-PCs oder Macs), an diesen Server geschickt. Der liefert beim Aufrufen bestimmter Web-Sites eine falsche IP-Adresse zurück, die beispielsweise zu einer Phishing-Seite gehört.

Ist diese Manipulation des Routers einmal erfolgreich gewesen, nützt weder die Entfernung des Schädlings vom infizierten Rechner noch die Verwendung einer Linux Live-CD etwas. Erst das Zurücksetzen des Routers auf die Werkseinstellungen sorgt für einen definierten, sauberen Zustand des Geräts. Dann sollten Sie das Passwort auf eine nicht triviale Zeichenkette ändern und die für den Internet-Zugang notwendigen Provider-Daten wieder eintragen.

Die Änderung des Passworts für den Router sollten Sie als Vorsichtsmaßnahme in jeden Fall vornehmen. Das Beispiel Zlob zeigt, dass in Zukunft vermehrt mit Schädlingen zu rechnen ist, die derartige Manipulationen versuchen werden. Sicherheitsfachleute warnen schon seit einiger Zeit vor dieser Möglichkeit.

Die Erkennung der Zlob-Schädlinge durch Antivirus-Programme ist regelmäßig recht lückenhaft, da die Download-Dateien in sehr kurzen Intervallen (teilweise wenige Minuten) verändert werden.

Antivirus

Malware-Name

AntiVir

DR/Dldr.DNSChanger.Gen

Avast!

---

AVG

DNSChanger.AE (Trojan horse)

A-Squared

---

Bitdefender

Trojan.DNSChanger.TE

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

---

Ewido

---

F-Prot

---

F-Secure

Trojan.Win32.DNSChanger.dxc

Fortinet

W32/DNSChanger.0513!tr

G-Data AVK

Trojan.Win32.DNSChanger.dxc

Ikarus

---

Kaspersky

Trojan.Win32.DNSChanger.dxc

McAfee

---

Microsoft

---

Nod32

---

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Troj/Zlobar-Fam

Spybot S&D

---

Sunbelt

---

Symantec

---

Trend Micro

TROJ_ZLOB.CCW

VBA32

---

VirusBuster

---

WebWasher

Trojan.Dropper.Dldr.DNSChanger.Gen


Quelle: AV-Test ( http://www.av-test.de ), Stand: 12.06.2008, 15 Uhr

0 Kommentare zu diesem Artikel
72966