Trojaner konfiguriert Router um

Trojaner konfiguriert Router um

Trojaner, die Router manipulieren, gab es bislang nur in Gedankengemälden von Sicherheitsspezialisten. Nun ist eine besondere Variante des Schädlings Zlob der Leinwand entstiegen und verbiegt von infizierten Windows-PCs aus die DNS-Einstellungen handelsüblicher Router. Laut Brian Krebs von der Washington Post nutzt Zlob dazu eine eingebaute Liste der Standard-Usernamen und -Passwörter der Router. Erfolgreiche Angriffe wurden seinen Angaben zufolge bereits auf Linksys-Router BEFSX41 und einen Buffalo-Router mit den Open-Source-Firmware DD-WRT beobachtet.

Die Angreifer sind damit in der Lage, den Internetverkehr auf ihre eigenen Server umzuleiten. Der Vorteil der Manipulation des Routers liegt für die Kriminellen darin, dass der Eingriff für den normalen Anwender schwieriger zu erkennen ist als auf dem PC. Auf die Rechner gelangt der Schädling als vermeintlicher Videocodec, der Anwendern beim Besuch einer Webseite feilgeboten wird. Mitglieder der Zlob-Familie treiben sich schon seit 2006 im Internet herum, bis dato verbogen sie aber nur die DNS-Einstellungen auf den PCs selbst. Sogar eine Variante für Mac OS X soll bereits ihr Glück auf Apple-Rechnern versucht haben.

Zlob gehört immer noch zu den am weitesten verbreiteten Schädlingen für Windows-PCs. Die neue Variante scheint bislang aber noch nicht weit verbreitet zu sein. Schutz gegen Zlob bietet ein Virenscanner mit aktuellen Signaturen und Zurückhaltung beim Herunterladen dubioser Videocodecs – auch wenn der angekündigte Film die Hände zittern lässt. Das Ändern des Standard-Passwortes hilft zudem nicht nur vor Trojanern, es kann darüberhinaus gegen besondere Formen von Cross-Site-Request-Forgery-Attacken schützen, also Angriffe auf den Router über präparierte Webseiten.
Zlob: Trojaner tarnt sich als Codec, kapert WLAN-Router

Erst versteckt sich der Trojaner Zlob hinter der Fassade eines wichtigen Codecs, dann schlägt er zu und knackt das Passwort des WLAN-Routers. Von diesem Moment an wird der komplette Datenverkehr über die Server der Kriminellen umgeleitet.
Sein Name ist Zlob, seines Zeichens Trojaner. Bereits Ende 2005 tauchte der auch als DNS-Changer bekannte Schädling das erste Mal auf, jetzt ist es wieder soweit: Zlob tarnt sich auf manipulierten Websites als Video-Codec, der angeblich zum Abspielen meist pornografischer Streams im Internet notwendig sei.

Die entsprechende Seite meldet, eine ActiveX-Komponente werde für den Stream benötigt. Bestätigt der Nutzer dies, startet die Installations-Routine des Fake-Codecs. Bereits in diesem Moment hat sich der Trojaner Zlob auf dem System eingenistet. Und die Wahrscheinlichkeit ist relativ hoch: Laut Virenexperten entdeckt erst ein Drittel der gängigen Scanner die aktuelle Variante des Schädlings.

Drahtlose Zielscheibe

Soweit eine altbekannte Methode, doch die neue Variante von Zlob hat es auf WLAN-Router abgesehen. Dort verändert die Malware Einträge des Domain Name Systems DNS so, dass der Traffic des eigenen Internet-Anschlusses über einen fremden Server umgeleitet wird. Gehören diese Server Kriminellen, haben die Zugriff auf die privaten Daten.
Um Zugriff auf den Router zu erlangen, bedient sich Zlob einer Liste von Benutzernamen und Passwörtern und probiert diese aus. Das Gefährliche: Sie entsprechen den Standard-Einstellungen, mit denen die Router-Hersteller ihre Geräte ausliefern. Ändert der Nutzer die default-Konfiguration nicht, knackt Zlob den Router im Nu. Die Liste der vom Trojaner verwendeten Passwörter finden Sie in den Mittlerweile scheint festzustehen, das Zlob die Setup-Wizards der Router-Software manipuliert, bestätigte Ziele sind die Dateien /index.asp, /dlink/hwiz.html (Bei D-Link-Routern), wizard.htm und /home.asp. Ist die DNS-Umleitung auf die Betrüger-Server erst einmal aktiv, muss mit weiteren Angriffen auf das Netzwerk gerechnet werden.

Vorsicht und Umsicht

Der beste Schutz gegen den Zlob-Trojaner ist - neben einem ständig aktualisierten Virenscanner - eine möglichst starke Kombination aus Benutzername und Passwort. Hier sollten möglichst lange, mit Ziffern und Sonderzeichen durchsetze Wörter verwendet werden, damit Zlob sich die Zähne ausbeißt.
Wurde das System bereits infiziert, genügt es nicht, den Trojaner einfach zu entfernen - denn die Umleitung des Traffics ist immer noch aktiv. Sobald Zlob gelöscht wurde, sollte der Nutzer einen Reset des Routers durchführen, um diesen wieder auf Werkseinstellungen zu setzen. So macht der Router die DNS-Manipulation rückgängig.

Wichtig: Senden mehrere Computer Daten über den Router, muss auch bei jedem dieser Systeme der Trojaner entfernt werden. Bereits ein unentdeckter Zlob würde ausreichen, um direkt wieder die Konfiguration zu ändern - zumal direkt nach dem Reset auch Benutzername und Passwort standardmäßig wieder zurückgesetzt wurden.
Sie k?nnen keine Kommentare abgeben!