DNSChanger - มัลแวร์ที่กำหนดเป้าหมายเราเตอร์ของคุณผ่านเว็บเบราว์เซอร์
มัลแวร์ที่กำหนดเป้าหมายคอมพิวเตอร์นั้นเป็นเรื่องปกติ แต่ มัลแวร์ที่กำหนดเป้าหมายเราเตอร์ เป็นสิ่งที่แตกต่างอย่างสิ้นเชิง. นักวิจัยจาก บริษัท รักษาความปลอดภัย Proofpoint ได้ค้นพบว่าวิธีการดำเนินการคล้ายกับเมื่อเร็ว ๆ นี้ ค้นพบมัลแวร์ Stegano.
มัลแวร์ที่เรียกว่า DNSChanger, และมันแพร่กระจายผ่านทาง โฆษณาที่มีมัลแวร์ ที่ให้บริการโดยเครือข่ายโฆษณาขนาดใหญ่ DNSChanger จะเป็นอันดับแรก ตรวจสอบที่อยู่ IP ของผู้เข้าชมเพื่อดูว่าอยู่ในช่วงที่กำหนดหรือไม่. หากอยู่ที่ ไม่ตกอยู่ในช่วงเป้าหมาย, DNSChanger จะ ตั้งค่าโฆษณาลวงที่สะอาด.
ในทางกลับกันหากที่อยู่นั้นอยู่ในช่วงที่กำหนดมัลแวร์ก็จะทำเช่นนั้น เผยแพร่โฆษณาปลอมที่ซ่อนรหัสการใช้ประโยชน์ในข้อมูลเมตา ของภาพ PNG.
เมื่อโค้ดที่เป็นอันตรายสามารถแอบเข้าไปในพีซีของเป้าหมายได้ เป้าหมายเพื่อเชื่อมต่อกับเพจที่โฮสต์ DNSChanger. เว็บไซต์จะทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าที่อยู่ IP ของเป้าหมายนั้นอยู่ในช่วงเป้าหมายและเมื่อได้รับการยืนยันเว็บไซต์จะ แสดงภาพที่สองที่มีรหัสช่องโหว่.
สิ่งที่เกิดขึ้นต่อไปขึ้นอยู่กับรุ่นของเราเตอร์ที่ DNSChanger กำลังโจมตี หากว่า รุ่นเราเตอร์ ได้รู้จักการหาประโยชน์ DNSChanger จะ ใช้การหาประโยชน์เหล่านี้เพื่อแก้ไขรายการ DNS ในเราเตอร์. เมื่อเป็นไปได้, ทำให้พอร์ตการจัดการพร้อมใช้งานจากที่อยู่ภายนอก.
หากเราเตอร์มี ไม่มีการหาช่องโหว่ที่รู้จัก, DNSChanger จะพยายาม ใช้ข้อมูลรับรองเริ่มต้น เพื่อเข้าใช้เราเตอร์ หากเราเตอร์มี ไม่หาช่องโหว่ที่รู้จักและไม่มีรหัสผ่านที่รู้จัก, มัลแวร์ก็จะ ละทิ้งการโจมตี.
สมมติว่ามันสามารถเข้าถึงเราเตอร์ได้ DNSChanger ก็สามารถทำได้ บังคับให้คอมพิวเตอร์ที่เชื่อมต่อเชื่อมต่อกับไซต์ผู้ปลอมแปลง ที่เหมือนกันกับของจริง.
Proofpoint พบว่ามัลแวร์ดูเหมือนจะเป็น การปลอมแปลงที่อยู่ IP เพื่อที่จะ เบี่ยงเบนความสนใจจากเอเจนซี่โฆษณา เพื่อสนับสนุนเครือข่ายโฆษณาที่รู้จักในชื่อ Fogzy และ TrafficBroker.
ในขณะนี้ Proofpoint ได้กล่าวว่า เป็นไปไม่ได้ที่จะตั้งชื่อเราเตอร์ทั้งหมดที่ไวต่อ DNSChanger. อย่างไรก็ตาม Proofpoint ได้แจ้งรุ่นเราเตอร์ห้ารุ่นที่อาจถูกโจมตีโดยมัลแวร์ตัวนี้.
เพื่อปกป้องตัวคุณเองจาก DNSChanger Proofpoint ได้แนะนำให้ เราเตอร์ของคุณได้รับการอัพเดตเป็นเฟิร์มแวร์ล่าสุดที่มีอยู่ และคือ มีการป้องกัน กับ ยาว, รหัสผ่านที่สร้างแบบสุ่ม. นอกจากนี้, ปิดใช้งานการดูแลระบบระยะไกล และ การเปลี่ยนที่อยู่ IP เริ่มต้นของเราเตอร์ท้องถิ่น เป็นมาตรการป้องกันที่มีประสิทธิภาพ.
