image

Trojaans paard kaapt wifi-routers en wijzigt DNS-instellingen

donderdag 13 maart 2014, 11:01 door Redactie, 11 reacties

Een Trojaans paard dat op dit moment actief is blijkt over het internet wifi-routers aan te vallen en vervolgens de DNS-instellingen te wijzigen zodat ook andere computers met de malware besmet kunnen worden. De malware heet Rbrute en gebruikt een woordenboekaanval om op wifi-routers in te loggen.

Op Windowscomputers die met Rbrute zijn geïnfecteerd scant de malware eerst een reeks van IP-adressen. Het Trojaanse paard kan van verschillende fabrikanten de routers aanvallen. Het gaat om de DSL-2520U en DSL-2600U van D-Link, de TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N en TD-W8101G van TP-Link en de ZXV10 W300, ZXDSL 831CII van ZTE.

Zodra de malware een IP-adres vindt waarop kan worden ingelogd, wordt er een woordenboekaanval uitgevoerd. Hiervoor gebruikt Rbrute de gebruikersnamen 'admin' of 'support', gecombineerd met allerlei wachtwoorden. Als de malware op de router kan inloggen worden vervolgens de DNS-instellingen gewijzigd. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen.

Dit zorgt ervoor dat gebruikers van de router, zodra ze er verbinding mee maken en een website willen bezoeken, naar een kwaadaardige website worden doorgestuurd. Deze website biedt zogenaamd een versie van Google Chrome aan, maar in werkelijkheid gaat het om malware genaamd 'Sector'. Sector kan op besmette computers weer de Rbrute Trojan downloaden, waarna de cyclus zich herhaalt, zo meldt het Russische anti-virusbedrijf Dr. Web.

Reacties (11)
13-03-2014, 11:13 door [Account Verwijderd]
[Verwijderd]
13-03-2014, 11:28 door Briolet
In dit geval is alleen het aanpassen van een gebruikersnaam al voldoende omdat hij alleen 'admin' of 'support' als naam probeert.

Wat ik niet snap is waarom ze zich tot deze lijst van routers beperken. Ze maken namelijk geen gebruik van zwakheden van de router, alleen maar van het feit dat zwakke wachtwoorden gebruikt zijn.
13-03-2014, 11:40 door [Account Verwijderd] - Bijgewerkt: 13-03-2014, 11:41
[Verwijderd]
13-03-2014, 14:18 door Anoniem
Wat ik niet snap is waarom ze zich tot deze lijst van routers beperken. Ze maken namelijk geen gebruik van zwakheden van de router, alleen maar van het feit dat zwakke wachtwoorden gebruikt zijn.

Dit is uiteraard omdat de trojan de menu's van zo'n router moet doorlopen om de settings te veranderen, en die menu's zijn in elke routerversie weer anders.
13-03-2014, 15:33 door Anoniem
Door Peter V.:
Door Ubuntu: standaard wachtwoord veranderen naar een eigen gekozen

http://www.onlinewachtwoordgenerator.nl/
En dat gaat dan ook nog over een niet-versleutelde verbinding? Mij niet gezien.

Ik gebruik altijd deze: *dt5'u~+`v%5@s/T=-C,`bjpr@8&}ld/y,D@AkRI':=@6pri?`C'/N$R.RvGn_Es
13-03-2014, 16:44 door Anoniem
Lekker... Als je dat combineert met een botnet als c&c....
13-03-2014, 16:47 door Anoniem
Door Anoniem:
Door Peter V.:
Door Ubuntu: standaard wachtwoord veranderen naar een eigen gekozen

http://www.onlinewachtwoordgenerator.nl/
En dat gaat dan ook nog over een niet-versleutelde verbinding? Mij niet gezien.

Ik gebruik altijd deze: *dt5'u~+`v%5@s/T=-C,`bjpr@8&}ld/y,D@AkRI':=@6pri?`C'/N$R.RvGn_Es

Niet handig om altijd dezelfde te gebruiken :D
13-03-2014, 22:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Peter V.:
Door Ubuntu: standaard wachtwoord veranderen naar een eigen gekozen

http://www.onlinewachtwoordgenerator.nl/
En dat gaat dan ook nog over een niet-versleutelde verbinding? Mij niet gezien.

Ik gebruik altijd deze: *dt5'u~+`v%5@s/T=-C,`bjpr@8&}ld/y,D@AkRI':=@6pri?`C'/N$R.RvGn_Es

Niet handig om altijd dezelfde te gebruiken :D

Juist wel heel handig. Echter niet zo slim!
14-03-2014, 12:59 door Anoniem
security van TP-link weer , gewoon firmware upgraden naar DD-WRT
14-03-2014, 15:49 door Anoniem
Ach.. Moet de eerste trojan nog vinden die m'n Cisco 1841 binnenkomt. :P
15-03-2014, 02:06 door Anoniem
Als je toch via een webpagina wachtwoorden wilt genereren gebruik dan een goede service:
o https://www.grc.com/default.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.