Microsoft zal deze maand miljoenen Windowscomputers op de aanwezigheid van adware controleren die dns-instellingen aanpast en een eigen rootcertificaat installeert. Het gaat om een adware-familie genaamd Clodaconas, die advertenties en pop-ups op websites en in zoekresultaten injecteert.

Om de advertenties te injecteren verandert Clodaconas de dns-instellingen van de computer. Computers gebruiken het domain name system (dns) om onder andere websites op te vragen. De meeste internetgebruikers maken gebruik van de dns-servers van hun internetprovider. In het geval van de Clodaconas-adware wordt er een kwaadaardige dns-server ingesteld.

Alle dns-verzoeken van de gebruiker gaan vervolgens langs de dns-server van de aanvallers. Op deze manier ontstaat er een man-in-the-middle (mitm) aanval. In plaats van dat websites direct van de originele server worden geladen, wordt de website van de server van de aanvallers geladen. De server van de aanvallers laadt wel de echte website, maar injecteert allerlei advertenties voordat de gebruiker de website uiteindelijk in zijn browser te zien krijgt.

Veel websites maken gebruik van een ssl-certificaat voor het opzetten van een beveiligde verbinding. De browser zou in het geval van een mitm-aanval, zoals door Clodaconas, een waarschuwing geven. Om dit soort waarschuwingen te voorkomen installeert de adware een eigen rootcertificaat. Met dit certificaat kunnen er ook binnen beveiligde verbindingen advertenties worden geïnjecteerd.

De in Windows ingebouwde Malicious Software Removal Tool (MSRT) zal de adware deze maand verwijderen en alle systeemaanpassingen ongedaan maken. Gebruikers moeten mogelijk wel hun browsercache legen nadat de adware is verwijderd. Anders kan de browser nog steeds een gecachete versie van de website met de advertenties bevatten. Microsoft maakte het nieuws via een blogposting bekend, maar heeft die inmiddels offline gehaald. Aankondigingen over de updates voor de MSRT verschijnen normaal namelijk op patchdinsdag, de tweede dinsdag van de maand.