DNSChanger - ウェブブラウザを通してあなたのルーターを標的とするマルウェア

コンピュータを標的とするマルウェアはかなり一般的ですが、 ルーターを標的とするマルウェア まったく違うものです. セキュリティ会社Proofpointの研究者 それが動作する方法は最近のものと似ていることを発見しました 発見されたSteganoマルウェア.

マルウェアはと呼ばれています DNSChanger, そしてそれは マルウェアによる広告 それは大規模な広告ネットワークによって配信されます。 DNSChangerは最初になります 訪問者のIPアドレスが範囲内かどうかを確認します。. 住所の場合 目標範囲内にない, DNSChangerは意志 きれいなおとり広告を設定する.

一方、アドレスが範囲内にある場合、マルウェアは メタデータに悪用コードを隠した偽の広告を公開する PNG画像の.

悪意のあるコードが標的のPCに侵入すると、それは DNSChangerをホストするページに接続するためのターゲット. Webサイトは、ターゲットのIPアドレスがターゲットの範囲内にあることを確認するためにさらに別のスキャンを実行します。 エクスプロイトコードを含む2番目の画像を表示する.

次に起こることはDNSChangerが攻撃しているルータモデルによって異なります。あれば ルーターモデル 悪用が知られている、DNSChangerは ルーターのDNSエントリを変更するためにこれらのエクスプロイトを利用する. 可能であれば, 管理ポートを外部アドレスから使用可能にする.

ルータに 既知のエクスプロイトはありません, DNSChangerは、 デフォルトの資格情報を使用 ルータにアクセスするため。ルータに 既知のエクスプロイトも既知のパスワードもありません。, その後、マルウェアは 攻撃を放棄する.

それがルータへのアクセスを取得することに成功したと仮定すると、DNSChangerはすることができます 接続されたコンピュータに詐欺サイトへの接続を強制する それは実際のものと視覚的に同じです.

Proofpointは、このマルウェアは IPアドレスの改ざん のために 広告代理店からのトラフィックをそらす FogzyおよびTrafficBrokerとして知られている広告ネットワークを支持して.

現時点では、Proofpointはそれがあることを述べています DNSChangerの影響を受けやすいすべてのルーターに名前を付けることは不可能. しかし、Proofpointはこの特定のマルウェアによって侵害される可能性がある5つのルータモデルに通知しました.

DNSChangerから身を守るために、Proofpointはそれを推奨しています。 ルーターが最新のファームウェアにアップデートされている そして 保護された とともに 長いです, ランダムに生成されたパスワード. さらに, リモート管理を無効にする そして ルーターのデフォルトのローカルIPアドレスを変更する 効果的な予防策です.