Het Trojaanse paard dat router-instellingen wijzigt, stuurt gekaapt verkeer door naar de Oekraïne. Hoewel de nieuwe DNS Changer / Zlob variant geen primeur heeft als het gaat om het manipuleren van hardware, is het wel de eerste keer dat een grote malware-familie zich bezighoudt met het aanvallen van netwerkapparatuur. In januari van dit jaar werd al een andere Trojan ontdekt die via een lek in een ADSL-modem hackers de bankrekeningen van een nog onbekend aantal mensen liet plunderen.

DNS Changer gebruikt geen beveiligingslek om de DNS-instellingen te wijzigen, maar standaard gebruikersnamen en wachtwoorden. Via een bruteforce-aanval probeert het 600 combinaties per minuut. Aan de hand van het IP-adres van de DNS en DHCP servers kan een slachtoffer zien of hij besmet is, aangezien die verwijst naar een IP-adres in de range van 85.255.*.*. Een ander kenmerk is dat niet bestaande domeinen toch door de kwaadaardige DNS-servers worden beantwoord.

Het blijft de vraag wat deze ontwikkeling voor de toekomst betekent. "Aanvallers hebben affiniteit met de zwakste schakel. Nu Microsoft producten in het algemeen veiliger worden, richten aanvallers zich op andere software en bestandsformaten. Zo zijn er vandaag de dag meer aanvallen in Flash video's en PDF documenten. DNS Changers is de eerste grote malware-familie die naar het Mac OS X platform is gepoort, wat onderstreept dat dit ook een aantrekkelijk platform voor virusschrijvers aan het worden is. En nu hebben ze routers als doelwit opgenomen, wat ook een beangstigende actie is," waarschuwt anti-virusonderzoeker Christoph Alme.