De miljoenen slachtoffers van de DNS Changer-malware moeten niet alleen hun DNS-instellingen wijzigen, ook hun wachtwoorden zijn mogelijk gecompromitteerd. De malware infecteerde computers en wijzigde vervolgens de DNS-instellingen. DNS is vergelijkbaar met het telefoonboek voor internet, en zorgt ervoor dat gebruikers een domeinnaam in plaats van een IP-adres kunnen gebruiken. Standaard gebruiken internetgebruikers de DNS-servers van hun internetprovider. De malware veranderde dit, door hier de servers van de cybercriminelen in te vullen. Daardoor liep al het internetverkeer via kwaadaardige DNS-servers. Zo werden zoekresultaten en advertenties gemanipuleerd, waarmee de bende achter de malware geld verdiende.

Eind vorig jaar werd het botnet door de FBI offline gehaald en de kwaadaardige DNS-servers door servers van het Internet Systems Consortium (ISC) vervangen. Die servers worden op 8 maart offline gehaald, waardoor een geschatte 2,5 miljoen internetgebruikers geen toegang tot internet meer hebben. Dat is echter niet het enige probleem, waarschuwt Righard Zwienenberg van anti-virusbedrijf ESET. De Nederlander werkte eerst nog voor Norman, maar maakte begin dit jaar de overstap naar de Slowaakse virusbestrijder.

Doordat al het verkeer via de kwaadaardige DNS-servers liep, konden de criminelen eenvoudig onversleutelde inloggegevens bemachtigen. Veel internetproviders laten hun abonnees op onversleutelde wijze op POP3 en SMTP-servers inloggen. Besmette gebruikers zouden mogelijk zo hun inloggegevens naar de bende achter DNS Changer hebben gestuurd. Hetzelfde geldt voor gebruikers die op Hotmail of Gmail inloggen. Deze diensten gebruiken wel HTTPS, "maar hoeveel mensen controleren of er een certificaat staat, laat staan de inhoud ervan", merkt Zwienenberg op.

Internetverbod
Hij erkent dat het onbekend is of de DNS Changer malware de inloggegevens buitmaakte. Wie zeker wil zijn wijzigt dan ook zowel de DNS-instellingen, als gebruikte wachtwoorden. Wat betreft mogelijke problemen op 8 maart zal het volgens de Nederlandse virusbestrijder wel loslopen, hoewel hij graag een monitoringsysteem op het adres van de kwaadaardige DNS-servers had gezien om te controleren hoeveel mensen er nog besmet zijn en waar ze vandaan komen.

"Ik denk dat dit wel mee zal vallen. Mijn bezorgdheid voor degene die geïnfecteerd zijn geraakt ligt meer in het feit dat men niet weet wat waar heen is gestuurd. En het feit dat men wel weet om van tijd tot tijd de wachtwoorden te veranderen, maar dit soort wachtwoorden, opgeslagen in e-mail clients, worden dan vergeten. En zeker als de wachtwoorden onversleuteld zijn verstuurd." Binnenkort komt ook nog de Nederlandse overheid met een waarschuwing voor de malware.