Neue Zlob-Variante manipuliert Router

Dass man die Verschlüsselungseinstellungen seines WLAN-Routers bearbeiten sollte, wenn man verhindern will, dass jemand in das drahtlose Netz eindringt, hat sich mittlerweile relativ weit herumgesprochen. Dass man aber auch die Zugangsdaten zum Router verändern sollte, ist schon weit weniger Anwendern bewusst. Der Router befinde sich ja im eigenen Netz und sei daher kaum angreifbar. Falsch.

Eine neue Variante des Zlob-Trojaners greift genau diese Schwachstelle an:

Sloss said he captured traffic showing the Zlob variant trying to reconfigure different routers by requesting the local Web page for the various „setup wizards“ that ship with the devices. Some of the requests he noticed are listed below, with my own research noted next to them:

„/index.asp“ (still checking, but I believe this is used on DD-WRT and some Linksys routers);
„/dlink/hwiz.html“ (D-Link routers);
„wizard.htm“ (appears to be used by several different router manufacturers, including Linksys).
„/home.asp“ (no idea)

Bei den Tests wurden die DNS-Einstellungen (Domain Name Service) eines Linksys- und eines Buffalo-Routers durch den Trojaner erfolgreich geändert. Es gibt bereits eine Liste der zahlreichen Passwörter, die Zlob verwendet.

Manipulierte DNS-Einstellungen können dazu führen, dass man statt der gewünschten Seite seiner Online-Bank eine gefälschte Seite zu sehen bekommt, obwohl der Domain-Name stimmt. Das liegt daran, dass der böswillige DNS-Server dem Browser eine falsche IP-Adresse nennt.

Es gibt noch einen Aspekt, den man beachten sollte: Selbst wenn der Trojaner entdeckt und erfolgreich entfernt wird, bleiben die Router-Einstellungen weiter manipuliert. Die wenigsten Anwender, die einen Schädling entfernen, überprüfen nämlich anschließend auch die Einstellungen ihres Routers. Das sollte man in Zukunft aber tunlichst tun.

0 Gedanken zu “Neue Zlob-Variante manipuliert Router

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.