DNSChanger - шкідливе програмне забезпечення, яке спрямоване на маршрутизатори через веб-браузер
Шкідливі програми, націлені на комп'ютери, досить поширені, але зловмисне програмне забезпечення, яке орієнтоване на маршрутизатори це зовсім інша річ. Дослідники з охоронної фірми Proofpoint виявили, що спосіб його функціонування подібний до недавнього виявили шкідливе програмне забезпечення Stegano.
Зловмисна програма називається DNSCперемикач, і поширюється за допомогою реклами з шкідливим програмним забезпеченням які обслуговуються великими рекламними мережами. DNSChanger буде спочатку перевірте IP-адресу відвідувача, щоб побачити, чи знаходиться він у межах діапазону. Якщо адреса не входить до цільового діапазону, DNSChanger буде налаштовувати чисті оголошення для приманки.
З іншого боку, якщо адреса потрапляє в діапазон, шкідливе програмне забезпечення буде публікувати фальшиве оголошення, яке приховує код використання в метаданих зображення PNG.
Після того, як шкідливий код вдасться пробратися до ПК цілі, він викликає цільової для підключення до сторінки, на якій розміщено DNSChanger. На веб-сайті буде проведено ще одне сканування, щоб переконатися, що IP-адреса цілі знаходиться в межах цільового діапазону, і коли це буде підтверджено, сайт буде відображення другого зображення, яке містить код експлуатації.
Що буде далі, залежить від моделі маршрутизатора, яку атакує DNSChanger. Якщо модель маршрутизатора має відомі подвиги, DNSChanger буде використовувати ці подвиги для зміни записів DNS в маршрутизаторі. Коли це можливо, Зробити адміністративні порти доступними з зовнішніх адрес.
Якщо маршрутизатор має немає відомих подвигів, DNSChanger намагається використовувати облікові дані за умовчанням щоб отримати доступ до маршрутизатора. Якщо маршрутизатор має жодних відомих експлуататів і невідомих паролів, зловмисне програмне забезпечення буде тоді відмовитися від нападу.
Припускаючи, що йому вдається отримати доступ до маршрутизатора, DNSChanger може змусити підключені комп'ютери до підключення до сайтів-самозванців які візуально ідентичні реальному.
Proofpoint з'ясувала, що зловмисне програмне забезпечення є фальсифікація IP-адрес щоб переадресовувати трафік з рекламних агентств на користь рекламних мереж, відомих як Fogzy і TrafficBroker.
На даний момент Proofpoint зазначив, що це так Неможливо назвати всі маршрутизатори, які піддаються DNSChanger. Проте Proofpoint повідомив про п'ять моделей маршрутизаторів, які можуть бути скомпрометовані цією шкідливою програмою.
Щоб захистити себе від DNSChanger, Proofpoint рекомендував це маршрутизатори оновлюються до останньої доступної прошивки і є захищені з довго, випадково згенерований пароль. Додатково, відключення віддаленого адміністрування і змінюється локальна IP-адреса маршрутизатора є ефективним запобіжним заходом.