Trojaner konfiguriert Router um

Dieses Thema im Forum "Netzwelt" wurde erstellt von N0S, 13. Juni 2008 .

  1. 13. Juni 2008
    Trojaner konfiguriert Router um

    Trojaner, die Router manipulieren, gab es bislang nur in Gedankengemälden von Sicherheitsspezialisten. Nun ist eine besondere Variante des Schädlings Zlob der Leinwand entstiegen und verbiegt von infizierten Windows-PCs aus die DNS-Einstellungen handelsüblicher Router. Laut Brian Krebs von der Washington Post nutzt Zlob dazu eine eingebaute Liste der Standard-Usernamen und -Passwörter der Router. Erfolgreiche Angriffe wurden seinen Angaben zufolge bereits auf Linksys-Router BEFSX41 und einen Buffalo-Router mit den Open-Source-Firmware DD-WRT beobachtet.

    Die Angreifer sind damit in der Lage, den Internetverkehr auf ihre eigenen Server umzuleiten. Der Vorteil der Manipulation des Routers liegt für die Kriminellen darin, dass der Eingriff für den normalen Anwender schwieriger zu erkennen ist als auf dem PC. Auf die Rechner gelangt der Schädling als vermeintlicher Videocodec, der Anwendern beim Besuch einer Webseite feilgeboten wird. Mitglieder der Zlob-Familie treiben sich schon seit 2006 im Internet herum, bis dato verbogen sie aber nur die DNS-Einstellungen auf den PCs selbst. Sogar eine Variante für Mac OS X soll bereits ihr Glück auf Apple-Rechnern versucht haben.

    Zlob gehört immer noch zu den am weitesten verbreiteten Schädlingen für Windows-PCs. Die neue Variante scheint bislang aber noch nicht weit verbreitet zu sein. Schutz gegen Zlob bietet ein Virenscanner mit aktuellen Signaturen und Zurückhaltung beim Herunterladen dubioser Videocodecs – auch wenn der angekündigte Film die Hände zittern lässt. Das Ändern des Standard-Passwortes hilft zudem nicht nur vor Trojanern, es kann darüberhinaus gegen besondere Formen von Cross-Site-Request-Forgery-Attacken schützen, also Angriffe auf den Router über präparierte Webseiten.

    Quelle: Trojaner konfiguriert Router um | heise online



    Zlob: Trojaner tarnt sich als Codec, kapert WLAN-Router

    Erst versteckt sich der Trojaner Zlob hinter der Fassade eines wichtigen Codecs, dann schlägt er zu und knackt das Passwort des WLAN-Routers. Von diesem Moment an wird der komplette Datenverkehr über die Server der Kriminellen umgeleitet.
    Sein Name ist Zlob, seines Zeichens Trojaner. Bereits Ende 2005 tauchte der auch als DNS-Changer bekannte Schädling das erste Mal auf, jetzt ist es wieder soweit: Zlob tarnt sich auf manipulierten Websites als Video-Codec, der angeblich zum Abspielen meist grafischer Streams im Internet notwendig sei.

    Die entsprechende Seite meldet, eine ActiveX-Komponente werde für den Stream benötigt. Bestätigt der Nutzer dies, startet die Installations-Routine des Fake-Codecs. Bereits in diesem Moment hat sich der Trojaner Zlob auf dem System eingenistet. Und die Wahrscheinlichkeit ist relativ hoch: Laut Virenexperten entdeckt erst ein Drittel der gängigen Scanner die aktuelle Variante des Schädlings.

    Drahtlose Zielscheibe

    Soweit eine altbekannte Methode, doch die neue Variante von Zlob hat es auf WLAN-Router abgesehen. Dort verändert die Malware Einträge des Domain Name Systems DNS so, dass der Traffic des eigenen Internet-Anschlusses über einen fremden Server umgeleitet wird. Gehören diese Server Kriminellen, haben die Zugriff auf die privaten Daten.
    Um Zugriff auf den Router zu erlangen, bedient sich Zlob einer Liste von Benutzernamen und Passwörtern und probiert diese aus. Das Gefährliche: Sie entsprechen den Standard-Einstellungen, mit denen die Router-Hersteller ihre Geräte ausliefern. Ändert der Nutzer die default-Konfiguration nicht, knackt Zlob den Router im Nu. Die Liste der vom Trojaner verwendeten Passwörter finden Sie in den Mittlerweile scheint festzustehen, das Zlob die Setup-Wizards der Router-Software manipuliert, bestätigte Ziele sind die Dateien /index.asp, /dlink/hwiz.html (Bei D-Link-Routern), wizard.htm und /home.asp. Ist die DNS-Umleitung auf die Betrüger-Server erst einmal aktiv, muss mit weiteren Angriffen auf das Netzwerk gerechnet werden.

    Vorsicht und Umsicht

    Der beste Schutz gegen den Zlob-Trojaner ist - neben einem ständig aktualisierten Virenscanner - eine möglichst starke Kombination aus Benutzername und Passwort. Hier sollten möglichst lange, mit Ziffern und Sonderzeichen durchsetze Wörter verwendet werden, damit Zlob sich die Zähne ausbeißt.
    Wurde das System bereits infiziert, genügt es nicht, den Trojaner einfach zu entfernen - denn die Umleitung des Traffics ist immer noch aktiv. Sobald Zlob gelöscht wurde, sollte der Nutzer einen Reset des Routers durchführen, um diesen wieder auf Werkseinstellungen zu setzen. So macht der Router die DNS-Manipulation rückgängig.

    Wichtig: Senden mehrere Computer Daten über den Router, muss auch bei jedem dieser Systeme der Trojaner entfernt werden. Bereits ein unentdeckter Zlob würde ausreichen, um direkt wieder die Konfiguration zu ändern - zumal direkt nach dem Reset auch Benutzername und Passwort standardmäßig wieder zurückgesetzt wurden.

    Quelle: Zlob: Trojaner tarnt sich als Codec, kapert WLAN-Router (Update) - NETZWELT
     
  2. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    Und die Schwachstelle sitzt wieder einemal vor der Monitor.
    Wer Codecs von zwielichtigen Webseiten saugt, gehört bestraft...
     
  3. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    Als gelegenheits-windows-user und hauptsächlicher Linux-User kann man über sowas nur lachen
    Wer seinen Router ohne Passwort/mit standard settings dauerhaft einsetzt gehört echt geschlagen.

    Back 2 topic:
    Da werden wohl wieder viele dumme Windows-Nutzer drauf hereinfallen und dann sich wundern wohin ihre Konto(o.ä.)-Daten abwandern....

    MFG
    TuXiFiED
     
  4. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    Echt dreßt was sich manche Hacker so einfallen lassen zum glück hab ich nicht so ein standart-pw wie bestimmt manche andere User die ahnungslos vorm Pc sitzen. Sichere Passwürter beugen einfach vor
     
  5. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    .... das Standard 0000 oder "password" ist ja auch sooo schwer zu knacken -.-

    nutze zwar meistens Windoof, habe aber auch ein Unix-System ... unter MD5-Passwort geht bei mir garnix... wobei das eintippen der dinger ziemlich nervig ist xD
     
  6. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    Danke des K-Lite Codec Megapacks werde ich mir von einer nicht vertraunswürdigen Seite keine Codecs ziehen. Außerdem ist es ganz nett, Damn Small Linux auf einer virtuellen Maschine zu haben.

    Ich mache mir wegen meiner Sicherheit keine Sorgen
     
  7. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    dann werd ich mal mehr wert drauf legen auf die codecs zu achten die ich sauge
    sage freeapps meistens sowieso von chip.de^^
    von daher
    aber thx für info
     
  8. 14. Juni 2008
    AW: Trojaner konfiguriert Router um

    Joa ich werd dann wie schon gesagt ich werd auch sehr drauf achten das ich net einfach sauge sondern gugge welche codecs ich sauge also das ist ziemmlich nen scheiss wenn das passieren würde!!


    MFG Worldofwar
     
  9. 15. Juni 2008
    AW: Trojaner konfiguriert Router um

    Brain.exe - Die Rundumlösung für viele Probleme

    Beste Virenprogramm, dass ich kenne ...

    Selbst schuld wenn man im iNET von jeder Seite irgendeinen Stuff lädt ohne sich Gedanken drüber zu machen.
     
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.