Trojaner konfiguriert Router um

Trojaner, die Router manipulieren, gab es bislang nur in Gedankengemälden von Sicherheitsspezialisten. Nun ist eine besondere Variante des Schädlings Zlob der Leinwand entstiegen und verbiegt von infizierten Windows-PCs aus die DNS-Einstellungen handelsüblicher Router. Laut Brian Krebs von der Washington Post nutzt Zlob dazu eine eingebaute Liste der Standard-Usernamen und -Passwörter der Router. Erfolgreiche Angriffe wurden seinen Angaben zufolge bereits auf Linksys-Router BEFSX41 und einen Buffalo-Router mit der Open-Source-Firmware DD-WRT beobachtet.

Die Angreifer sind damit in der Lage, den Internetverkehr auf ihre eigenen Server umzuleiten. Der Vorteil der Manipulation des Routers liegt für die Kriminellen darin, dass der Eingriff für den normalen Anwender schwieriger zu erkennen ist als auf dem PC. Auf die Rechner gelangt der Schädling als vermeintlicher Videocodec, der Anwendern beim Besuch einer Webseite feilgeboten wird. Mitglieder der Zlob-Familie treiben sich schon seit 2006 im Internet herum, bis dato verbogen sie aber nur die DNS-Einstellungen auf den PCs selbst. Sogar eine Variante für Mac OS X soll bereits ihr Glück auf Apple-Rechnern versucht haben.

Zlob gehört immer noch zu den am weitesten verbreiteten Schädlingen für Windows-PCs. Die neue Variante scheint bislang aber noch nicht weit verbreitet zu sein. Schutz gegen Zlob bietet ein Virenscanner mit aktuellen Signaturen und Zurückhaltung beim Herunterladen dubioser Videocodecs – auch wenn der angekündigte Film die Hände zittern lässt. Das Ändern des Standard-Passwortes hilft zudem nicht nur vor Trojanern, es kann darüber hinaus gegen besondere Formen von Cross-Site-Request-Forgery-Attacken schützen, also Angriffe auf den Router über präparierte Webseiten.

Siehe dazu auch:

• Malware Silently Alters Wireless Router Settings, Bericht von Brian Krebs

(dab)