Malware past dns-gegevens op thuisrouters aan

Een nieuwe versie van het trojaanse paard 'Zlob' is in staat om dns-gegevens in thuisrouters aan te passen. Nog niet alle bekende virusscanners kunnen de malware verwijderen.

trojaans paard (klein) Het trojaanse paard doet zich voor als een videocodec die nodig is om beelden op bepaalde websites te bekijken. Als de gebruiker de malware installeert, zal die proberen om de dns-gegevens in de thuisrouter aan te passen, zodat al het internetverkeer door de aanvallers gecontroleerd wordt. Om in te loggen op de router maakt Zlob gebruik van een lijst met bekende login-gegevens van thuisrouters.

Onderzoekers wijzen al langere tijd op het gevaar dat routers misbruikt kunnen worden door malware, maar dit lijkt de eerste keer te zijn dat het daadwerkelijk gebeurt. De nieuwe versie van Zlob is om twee redenen problematisch, stelt Brian Krebs van de Washington Post. Ten eerste wordt dit trojaanse paard erg vaak gedownload door Windows-machines, zodat er veel schade kan worden aangericht. Daarnaast is alleen het verwijderen van de malware van de Windows-pc niet voldoende, aangezien de dns-instellingen op de router dan namelijk niet aangepast worden.

Een goede virusscanner kan helpen om te voorkomen dat Zlob op een pc een plek vindt, maar nog niet alle virusscanners kunnen deze malware herkennen en installatie voorkomen. Afgezien hiervan zouden gebruikers het wachtwoord van hun thuisrouter moeten aanpassen naar iets anders dan de standaardwaarde, meent Krebs. Dat scheelt namelijk niet alleen problemen met Zlob, maar zorgt er ook voor dat de instellingen van een router niet zomaar door onbekenden aangepast kunnen worden.

IT-banen

Reacties (85)

dasiro 13 juni 2008 11:30

dit is niet de fout van de onwetende gebruiker, maar van de leverancier van de router. Die moet in de setup maar inbouwen dat het standaard paswoord moet worden veranderd voordat je door kan gaan en niet hetzelfde paswoord kan kiezen

Anoniem: 399 @dasiro • 13 juni 2008 11:52

En de gekookte kat in de magnetron is de schuld van de fabrikant die het deurtje te groot maakte...

Wat een onzin redenatie. Als iemand te stom is om een wachtwoord in een netwerk onderdeel te kloppen is dat uitsluitend eigen schuld, dikke bult.

Marcks @Anoniem: 399 • 13 juni 2008 14:07

Wat een vergelijking, zeg. Tijd voor een reality check! Iedereen die ooit een magnetron gebruikt heeft, weet wat het doet en kan wel raden wat er gebeurt als je er een kat in probeert te koken. Een router is voor veel mensen een wonderkastje dat de monteur er heeft neergezet en wat je nodig schijnt te hebben om te kunnen internetten. Je kunt van die mensen heus niet verwachten dat ze de noodzaak van een wachtwoord begrijpen.

Dat maakt het niet per sé de schuld van de leverancier van de router, integendeel, maar 'eigen schuld, dikke bult' is wel heel sterk vanuit een tweakers-perspectief geredeneerd.

Roland684 @Marcks • 13 juni 2008 14:37

Je denkt veel te veel vanuit je eigen kennis. Jij weet misschien dat een magnetron watermoleculen verwarmt, maar weet je moeder dat ook? En weet zij wat de implicaties hiervan zijn? Als je je kat wel kunt drogen in de oven op de laagste stand, waarom dan niet in de magnetron op de laagste stand? Als je je boterham er in ontdooit gaat het toch ook hetzelfde?

Het zijn allebei wonderkastjes waarvan de gebruiker niet hoeft te weten welke technologie er in zit. Er moet enkel uitgelegd worden wat je er wel of niet mee moet/kan doen.

Je hoeft niet te weten hoe een verbrandingsmotor werkt om auto te kunnen rijden.
Maar een wireless router is bij verkeerd gebruik niet dodelijk, een magnetron of auto wel.

honey @dasiro • 13 juni 2008 11:36

ok, dit is dus het wachtwoord dat ik moet instellen (nu nog geen paswoord) in de MODEM en te benaderen door http://10.0.0.138/ in explorer in te voeren?

Vicarious @honey • 13 juni 2008 11:41

Ja, heel verstandig om dit te wijzigen.

Flying Bobman @honey • 13 juni 2008 15:30

Bij routers is het vaak http://192.168.1.1
Als je je router beveiligd hebt, heeft het dan nog zin om je modem te beveiligen? Ik weet niet eens of ik dat kan namelijk.. (Multikabel/Motorola modem met Netgear router).

Sissors @dasiro • 13 juni 2008 11:42

@honey, yep dat is hem.

@das, sorry maar dat ben ik niet met je eens. Sommige routers verplichten je een nieuw wachtwoord in te voeren, wat op zich redelijk netjes is. Maar elke router handleiding die ik heb gelezen verteld dat je het zou moeten doen, het is je eigen probleem als je het dan niet doet.

iMars @Sissors • 13 juni 2008 13:08

Onwetendheid, luiheid en laksheid zijn de grootste redenen waarom het momenteel niet gebeurd (heb geen bron, maar heb het wel ergens gelezen).

Door het verplicht in te stellen van een nieuw wachtwoord, MOETEN ze dat wel, anders werkt het niet. Ja, vind het een beetje kinderachtig, maar kennelijk moet het helaas gebeuren...

Mijzelf @dasiro • 13 juni 2008 12:55

Routersetup? En waarom zou je daarin willen gaan als argeloze gebruiker? Je kunt een router natuurlijk af fabriek zo instellen dat hij het niet doet, maar dat is ook niet erg gebruikersvriendelijk.

HyperBart @Mijzelf • 13 juni 2008 14:39

Dan is het nu gewoon kijken wat het belangrijkste is: gebruikersvriendelijkheid of veiligheid...

In dit geval? Tja, das voor iedereen voor zichzelf uit te maken....

Ik durf te wedden dat als er hier iemand het slachtoffer van wordt, het niet lang gaat duren tot een rechtszaak wordt gestart door he tslachtoffer tegen bv linksys omdat ze hun wachtwoord niet verplicht laten veranderen...

Er loopt altijd wel zo een Amerikaan rond die het irritant zou vinden als hij het voorgeschoteld kreeg (verplichting om pwd te veranderne), maar éénmaal dat hij gephished is en hij heeft de vraag niet gehad dat ie van zijn teut begint te maken en een lawsuit start..

Anoniem: 62763 @dasiro • 13 juni 2008 15:07

Ligt dit uberhaupt aan wachtwoorden, of ligt het meer aan het feit dat een hoop routers ook SNMP hebben draaien, en dat je via SNMP (de juiste versie) ook settings kunt veranderen? En zoals bekend, is SNMP niet een van het meest waterdichte protocol (en dient meestal alleen in een DMZ gebruikt te worden.)

Petervanakelyen @dasiro • 13 juni 2008 11:56

Het kan zelfs nog erger:

Tele2 heeft op z'n SpeedTouch 706WL, die standaard bij een Tele2 abo komt, een eigen firmware gezet. Die kan je dus (normaal

) niet updaten.

Het probleem daarbij is dat het standaard paswoord gewoon Tele2 is, en je dat dus NIET kan veranderen, enkel de Tele2 klantendienst !

Gelukkig kan je via een omweggetje toch nog nieuwe Thomson firmware flashen, niet aangepast, waar je wel volledige administrator bent...

HyperBart @Petervanakelyen • 13 juni 2008 13:55

Wat een bekrompenheid, daar krijg ik het echt van, van die bedrijven die je een bepaalde dienst aanbieden en dan voorkomen dat je dingen die je met het standaard apparaat kan niet kan doen bij hun "branded" apparaat.

Moet toch eens snel checken of ik mijn bridge met de buren ook veranderd heb...

Anoniem: 203844 13 juni 2008 11:36

de vorige versie van Zlbo deed hetvolgende:
Attempts to make HTTP connections to the following domains using different URLs, which allow the Trojan to ping, report it's status, and execute remote files:

vnp7s.net
zxserv0.com
dumpserv.com

De huidige zal hetzelfde doen maar dan vanuit je router zodat het virus niet gedetecteerd wordt op je PC. (wellicht zijn ook die DNS-namen variabel)

Captain Pervert 13 juni 2008 11:28

Wat heeft dit voor gevolgen voor de gebruiker?
Dat als hij een www.adres.com intikt, dit altijd wordt vertaald naar een pornosite ofzo?

asing @Captain Pervert • 13 juni 2008 12:43

Het resultaat is dat men in staat is om jouw verzoeken te manipuleren. Een aanvraag naar www.nu.nl zal gewoon goed uitgevoerd worden. Echter, men is in staat om je aanvraag naar www.bank.nl om te zetten naar een andere website die er hetzelfde uitziet.

Als men heel gerafineerd te werk gaat kan die andere website weer gegevens uitwisselen met de bank. Je kan dus met je pas inloggen en merkt helemaal niets van de omleiding. Vervolgens injecteert het systeem een betaalopdracht bij de bank en maskeert deze voor jou. Als je nu zelf ook een opdracht uitzet en deze verstuurt, wordt ook die van de hacker meegestuurd.

Bovenstaande wordt ook wel een "man in the middle" attack genoemd.

mloman @Captain Pervert • 14 juni 2008 13:13

Bij SurfRight hebben ze een handig command line tooltje gemaakt (DetectBadDNS10.exe) waarmee je heel snel kunt controleren of je computer, router, modem of gateway een onveilg DNS-serveradres gebruikt voor naamomzetting. Je kunt het hier downloaden: http://www.surfright.nl/nl/news?id=53 (even scrollen naar Hulpprogramma).

Een voorbeeld als je netwerk een onveilg DNS-serveradres gebruikt, zoals na een besmetting met Zlob:

>>> BAD DNS server configuration detected!
The non-existing domain resolved to 216.255.187.210
... which is black listed by Spamhaus!

[Reactie gewijzigd door mloman op 23 juli 2024 07:24]

Swelson @Captain Pervert • 13 juni 2008 11:30

Ik denk meer om wachtwoorden in handen te krijgen enzo. Of misschien creditcard gegevens en je inloggegevens van je paypal account.

Palomar @Captain Pervert • 13 juni 2008 11:31

Ik denk eerder aan banksites, paypal e.d. Dan kunnen ze eenvoudig je wachtwoord achterhalen door je naar hun eigen nep-site te sturen.

Best link dit. Altijd je wachtwoord veranderen dus

AW_Bos

@Captain Pervert • 13 juni 2008 12:57

Dat hij naar www.paypal.nl surft, en opeens een look-alike site krijgt die de gegevens onderschept?

bazs2000 13 juni 2008 12:29

Het ontwikkelen van Malware gaat erg ver.

Iedereen weet dat zijn PC plus netwerk/internet-verbinding beveiligd moet worden maar slechts een deel van de wereldwijde bevolking doet dit daadwerkelijk. Het is jammer dat deze Malware ook meteen wijzigingen doorvoerd die niet ongedaan gemaakt kunnen worden door een virusscanner.

Tja, een router resetten naar fabrieksinstellingen kan spoelaas bieden maar dan moet de gebruiker weer alles instellen en dan begint het circus weer van voor af aan.

Trouwens, de meeste routers kunnen ook emails versturen (wanneer een logfile vol is bijvoorbeeld). Hoe lang gaat het nog duren voordat er malware komt die hier iets mee gaat doen? Dan hebben wij ineens spammende routers ipv PC's.

MarCreative @bazs2000 • 13 juni 2008 12:49

Ga nou niet te ver

Ik vraag me meer af hoe deze techniek werkt? Want ik zou niet weten hoe ik de firmware van mijn router zou moeten aapssen.

Ik denk dat we ons kunnen ons hier tegen beveiligen door betere firmware te schrijven, alleen dat kost weer geld, wat de bedrijven er weer voor over hebben.

Anoniem: 62763 @MarCreative • 13 juni 2008 15:19

idd via iets als SNMP of UPnP, of misschien zelfs via TFTP.
In de meeste gevallen hoef je bij die protocollen niet te authenticeren, en kun je dus gewoon de config aanpassen, Soms kan dat online, soms is er een reboot nodig, maar moeilijk is het niet.

Ik denk niet dat het een firmware probleem is, maar meer een probleem in de gebruikte (standaard) protocollen (die protocollen vinden hun herkomst in de server netwerken waar niet zomaar vage software of users werden toegelaten en dus niet elk pakketje beveiligd hoefde te worden). Dus in feite is er niets mis, maar ja, tegenwoordig moet je bijna alles beveiligen. (Te zot voor woorden eigenlijk)

honey 13 juni 2008 11:24

Hoe moet ik deze link boven lezen, is dit een lijst met scanners die het WEL vinden?

http://www.virustotal.com...693c15d05ac8c5dcdacc41d3a

LOTG @honey • 13 juni 2008 11:27

Nee dat is een lijst meet een aantal scanners en de resultaten die ze generen. Zoals je ziet vinden 11 van de 32 scanners iets verdachts waarvan een aantal volgens mij zelfs het goede resultaat.

AVG 7.5.0.516 2008.06.11 DNSChanger.AD
Symantec 10 2008.06.11 Trojan.Zlob

Brian @honey • 13 juni 2008 11:29

Lijkt me redelijk duidelijk: een 'result' betekent dat de virusscanner 'Zlob' (of iets verdachts) wel kan vinden. Geen result betekent dan dat de virusscanner 'Zlob' niet heeft kunnen vinden.

[Reactie gewijzigd door Brian op 23 juli 2024 07:24]

Bor Coördinator Frontpage Admins / FP Powermod

Malware

@honey • 13 juni 2008 11:33

Let wel: in vrijwel alle gevallen zijn versies van de definities al verhoogd. De lijst is op dit moment daardoor nog maar van beperkte waarde. Eigenlijk zou de test dagelijks overnieuw gedaan moeten worden.

Dutchman01 13 juni 2008 11:30

dat is toch het eerste wat ik doe een ander wachtwoord in de router

CMG @Dutchman01 • 13 juni 2008 12:41

Heel veel mensen denken daar niet aan. Heb hier vorig jaar nog een WiFi verbinding gevonden bij de buren waarbij niet alleen config via WiFi benaderbaar was, maar waar ook geen wachtwoord was ingesteld en zou iedereen dus kunnen instellen wat men maar wilt/

WeeJeWel

@Dutchman01 • 13 juni 2008 13:08

Doe eens een simpele poortscan op een IP range van 255 pc's. 90% van de routers die toegankelijk zijn hebben geen wachtwoord.

SunnieNL

@Dutchman01 • 13 juni 2008 13:10

Juist.. sterker nog.. alle routers, accesspoints etc. zouden in hun config wizard dit moeten laten veranderen en als dat niet gebeurd telkens bij inloggen een irritante melding in beeld moeten vertonen totdat het ww is veranderd..

Mijn ZyXEL vroeg standaard in de wizard om het ww te veranderen.

(terwijl mijn speedtouch dat niet deed.. sterker nog, de firmware updater/installatie wizard die je op je pc zet en communiceert met de router gaan er van uit dat de router op default instellingen staat....)

High-Voltage2 13 juni 2008 11:38

Geen last van hier. Geen default wachtwoorden in de router en simpel de DNS lokaal instellen ipv via DHCP te krijgen.
Maar er zullen toch nog héél wat mensen last gaan krijgen met die default wachtwoorden op de router.

Overigens denk ik dat ik die jongen gister eens ben tegengekomen. Ik moest een codec installeren, maar mn virusscanner zei dat het een bedreiging was. Hij kon echter niet identificeren wat het was... Heb dan maar afgezien van het installeren.

ieperlingetje @High-Voltage2 • 13 juni 2008 11:57

Geen last van hier. Geen default wachtwoorden in de router en simpel de DNS lokaal instellen ipv via DHCP te krijgen

.

Als je je dns lokaal instelt is het voor trojans nog simpeler om de dns adressen te wijzigen

Nu bepaalt tenminste de router nog de dns adressen, ipv van je pc

High-Voltage2 @ieperlingetje • 13 juni 2008 12:08

Daar heb je volledig gelijk in.
Maar die trojan wijzigt (zoals ik uit het artikel begrijp tenminste) enkel maar de DNS in de router (of probeert dat toch althans), maar niet de lokale DNS.

In Windows slaag ik er overigens niet in de DNS via DHCP op te vragen terwijl de IP-config statisch is.

ASS-Ware @High-Voltage2 • 13 juni 2008 12:13

Daar heb je volledig gelijk in.
Maar die trojan wijzigt (zoals ik uit het artikel begrijp tenminste) enkel maar de DNS in de router (of probeert dat toch althans), maar niet de lokale DNS.

In Windows slaag ik er overigens niet in de DNS via DHCP op te vragen terwijl de IP-config statisch is.

Daar gaat het niet om, het gaat er om dat je PC, in de meeste thuis situaties, de router als DNS server gebruiken en juist DIE zal verkeerde adressen terug geven.

High-Voltage2 @ASS-Ware • 13 juni 2008 15:20

Lees in het vervolg ook de posts een niveau hoger: Geen last van hier.
Het gaat dus helemaal niet over de meeste thuissituaties, maar juist om een specifieke situatie.

ASS-Ware @High-Voltage2 • 14 juni 2008 03:53

Lees in het vervolg ook de posts een niveau hoger: Geen last van hier.
Het gaat dus helemaal niet over de meeste thuissituaties, maar juist om een specifieke situatie.

Ik reageerde niet op die post op een hoger niveau, maar op de zin "In Windows slaag ik er overigens niet in de DNS via DHCP op te vragen terwijl de IP-config statisch is.".

Sorcix @High-Voltage2 • 13 juni 2008 13:17

Als je een statisch IP adres gebruikt moet je het ip van je router opgeven als DNS server in windows. DHCP werkt namelijk zoiezo niet als je statische IP adressen gebruikt.

High-Voltage2 @Sorcix • 13 juni 2008 15:18

Als je een statisch IP adres gebruikt moet je het ip van je router opgeven als DNS server in windows. DHCP werkt namelijk zoiezo niet als je statische IP adressen gebruikt.

Niet als de router de DNS van de provider krijgt en ik die niet wil gebruiken...

SPee @High-Voltage2 • 13 juni 2008 14:16

Ik heb dit ook gedwongen moeten doen.
Ik kon namelijk niet internetten, maar had wel volledige verbinding.
De DNS zelf hard ingevoerd en het werkte weer

Hopelijk had ik niet eerder deze virus te pakken

Heb de laatste tijd geen nieuwe codec geinstalleerd, dus zal wel niet

SirBlade @High-Voltage2 • 13 juni 2008 15:49

DNS lokaal instellen is niet echt handig voor mensen met een laptop die om 2 of meer locaties wordt gebruikt.

needless to say 13 juni 2008 11:54

Leuk, bij de provider die mijn vriendin heeft krijg je een kabelrouter die je moet gebruiken. Het is onmogelijk om het standaardwachtwoord te wijzigen dat gewoon op de onderkant van de router staat. En dat standaardwachtwoord is echt niet moeilijk te raden...

KoRnboy112 13 juni 2008 11:55

Ik denk dat als jezelf een beetje goed oplet je ook een hoop elende kunt besparen.
Regelmatig schoon ik pcs van mensen op vol met mail en spyware ed.
Terwijl ik er zelf nooit last van heb.
Gewoon niet blid vanalles installeren, goede virusscanner erop zetten en niks van vage sites downloaden.
Veder kwa codecs kun je ook gewoon een recent codec pack installeren, zoals de Combined Community Codec Pack of de KL mega codec pack. Daar zitten verre weg de meeste codecs in zodat je niks meer hoeft te installeren.

Maar goed zoiezo het veranderen van je router paswoord is altijd verstandig, maar denk dat 95% van de mensen niet weer hoe dit moet.
Zo zie ik ook nog heel vaak onbeveiligde draadloze netwerken...

Floor @KoRnboy112 • 13 juni 2008 12:35

Nog beter dan een codec installeren is VLC player, dat programmatje speelt gewoon alles af. Geen fancy uiterlijk en de look and feel kan wel verbeterd worden daardoor is het wat minder aantrekkelijk voor degene die van poppekast houden.

Hmail @KoRnboy112 • 13 juni 2008 12:51

Het leuke van de trojan is dat deze zich voordoet als een echte codec. Je krijgt een scherm met een youtube-alike plaatje, en de melding dat de juiste codec niet is gevonden. Vervolgens kun je die downloaden (een gewone executable) om alsnog het filmpje te bekijken.

De gemiddelde gebruiker heeft geen flauw idee wat voor codecs hij gebruikt, en zodra iets niet afspeelt en je moet er iets voor downloaden: Prima.

To_Tall

13 juni 2008 12:17

Password?? Waarvoor heb je een password nodig??

Op veel nieuwe modelen routers zit UPnP; simple rule aanmaken en je hebt zo het dns van de router aangepast..

UPnP heel handig, maar zo gevaarlijk!! Tis ook bedoeld voor mensen zonder kennis..

Op dit item kan niet meer gereageerd worden.

Malware past dns-gegevens op thuisrouters aan

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: