Source : http://blog.washingtonpost.com/security ... ele_1.html
Actuellement, Trojan.DNS modifie les adresses des serveurs DNS du PC où est exécuté le codec piégé, seul l'ordinateur où le faux codec est exécuté est donc impacté.According to researchers contacted by Security Fix, recent versions of the ubiquitous "Zlob" Trojan (also known as DNSChanger) will check to see if the victim uses a wireless or wired hardware router. If so, it tries to guess the password needed to administer the router by consulting a built-in list of default router username/password combinations. If successful, the malware alters the victim's domain name system (DNS) records so that all future traffic passes through the attacker's network first. DNS can be thought of as the Internet's phone book, translating human-friendly names like example.com into numeric addresses that are easier for networking equipment to handle.
De nouvelles variantes de Trojan.DNS modifieraient maintenant les paramètres DNS au niveau du routeur.
Dans une configuration type, la résolution DNS se fait en général par le routeur (Le PC a comme serveur DNS le routeur qui se charge d'effectuer les résolutions DNS) : Les nouvelles variantes de Trojan.DNS tentent de modifier les adresses des serveurs DNS directement sur le routeur afin de modifier le résultat des requêtes DNS.
L'avantage est simple, tous les ordinateurs connectés sur le routeur sont impactés par ces modifications.
Vous allez me dire, oui mais si j'exécute le codec sur un PC comment fait-il pour modifier les adresses DNS du routeur ? comment y a-t-il accès ?
C'est le principe expliqué sur cette page (fev 2007) : Proof of concept : Attaque sur les routeurs des internautes.
Le Trojan modifie les paramètres via l'interface WEB du routeur, pour cela, il doit connaître le mot de passe d'accès... il va alors tenter des mots de passe "facile" : "admin, administrateur" (principe du bruteforce via un dictionnaire) ou tout simplement le mot de passe usine, si vous n'avez pas changé le mot de passe de votre routeur, vous êtes donc vulnérable.
Voici la liste des mots de passe testé : http://blog.washingtonpost.com/securityfix/zlobpass.txt
A l'heure actuelle seul les routeurs Linksys BEFSX41 sont visés mais on peut imaginer que les gammes de routeurs visés seront étendus avec le temps pour toucher un maxmimum d'internautes.