Gehackten Router erkennen

Vergangene Woche habe ich bereits über den Trojaner DNSChanger aus der Zlob-Familie berichtet, der die DNS-Einstellungen ungenügend gesicherter Router manipuliert.

Im Blog Trusted Source von Secure Computing stehen nun zwei Möglichkeiten, wie man eine Infektion erkennen kann: Zum einen verändert der Trojaner auch die lokale Registrierungsdatenbank des befallenen Computers und trägt im Windows-Schlüssel HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters einen neuen DHCP- und NameServer aus der IP-Range 85.255.*.* ein.

Eine Eigenart dieses DNS-Servers macht eine Infektion ebenfalls relativ leicht erkennbar: Er leitet Anfragen zu nicht existierenden Domains auf eine eigene Fehlerseite um. Diese sehen dann in etwa so aus:


(Bild: Secure Computing)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.