Änderung des DNS-Eintrags

Zlob-Malware zielt auf Router

Eine neue Art der Zlob-Malware nimmt sich Router als Ziele vor. Die Malware versucht den DNS-Eintrag zu manipulieren und die User so auf andere Webseiten umzuleiten.

Bereits seit Jahren werden die Trojanischen Pferde der Zlob-Familie als vorgebliche Video-Codecs zum Download angeboten. Spezielle Web-Sites, die überwiegend vorgeben, Links zu Porno-Seiten zu enthalten, führen potenzielle Opfer zu den Download-Seiten für die vermeintlichen Codecs, die vorgeblich benötigt werden, um die Bilder oder Videos anzuzeigen. Lädt ein Anwender den Zlob-Codec herunter und installiert ihn, manipuliert der Schädling die DNS-Einstellungen des Rechners. Neuerdings gibt es auch Varianten, die versuchen auf den DSL-Router zuzugreifen, um dessen Einstellungen zu manipulieren.

Der erste Aufruf des Schädlings bringt zunächst einen unverdächtig erscheinende Startfenster eines Nullsoft-Installers auf den Schirm. Dieses Installationsprogramm zeigt eine abzunickende Lizenzvereinbarung an. Unabhängig davon, welche Schaltfläche betätigt wird, installiert sich das Trojanische Pferd. Die Schaltflächen schließen nur das sichtbare Fenster, die Manipulationen am System oder am Router sind dann bereits erfolgt. Die Zlob-Schädlinge installieren außerdem ein Rootkit, um ihre Existenz zu tarnen.

Der Schädling enthält eine umfangreiche Sammlung von Standardpasswörtern für gängige Router, etwa die von D-Link, Intel, Nokia, Cisco und Linksys. Er ruft die Startseite des in vielen Routern enthaltenen Web-Servers auf und probiert aus, ob das werksseitig voreingestellte Passwort noch funktioniert. Außerdem probiert er gängige Kombinationen aus Benutzername und Passwort aus, etwa "admin:123456" oder "root:pass".

Ist Zlob damit erfolgreich, ändert er die DNS- und DHCP-Einstellungen auf eine von mehreren IP-Adressen (85.255.x.x) in der Ukraine. Dadurch werden DNS-Anfragen aller Rechner, die an diesen Router angeschlossen sind (auch Linux-PCs oder Macs), an diesen Server geschickt. Der liefert beim Aufrufen bestimmter Web-Sites eine falsche IP-Adresse zurück, die beispielsweise zu einer Phishing-Seite gehört.

Ist diese Manipulation des Routers einmal erfolgreich gewesen, nützt weder die Entfernung des Schädlings vom infizierten Rechner noch die Verwendung einer Linux Live-CD etwas. Erst das Zurücksetzen des Routers auf die Werkseinstellungen sorgt für einen definierten, sauberen Zustand des Geräts. Dann sollten Sie das Passwort auf eine nicht triviale Zeichenkette ändern und die für den Internet-Zugang notwendigen Provider-Daten wieder eintragen.

Die Änderung des Passworts für den Router sollten Sie als Vorsichtsmaßnahme in jeden Fall vornehmen. Das Beispiel Zlob zeigt, dass in Zukunft vermehrt mit Schädlingen zu rechnen ist, die derartige Manipulationen versuchen werden. Sicherheitsfachleute warnen schon seit einiger Zeit vor dieser Möglichkeit.

Die Erkennung der Zlob-Schädlinge durch Antivirus-Programme ist regelmäßig recht lückenhaft, da die Download-Dateien in sehr kurzen Intervallen (teilweise wenige Minuten) verändert werden. (PC-Welt/mja)