Trojan.Win32.DNSChanger et routeurs : Trojan.RouterChanger.A

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Malekal_morte
Messages : 116251
Inscription : 10 sept. 2005 13:57

Trojan.Win32.DNSChanger et routeurs : Trojan.RouterChanger.A

par Malekal_morte »

Pour mieux comprendre cette page, il faut avoir certaines notions, lire la page suivante : https://www.malekal.com/internet.php

Source : http://blog.washingtonpost.com/security ... ele_1.html
According to researchers contacted by Security Fix, recent versions of the ubiquitous "Zlob" Trojan (also known as DNSChanger) will check to see if the victim uses a wireless or wired hardware router. If so, it tries to guess the password needed to administer the router by consulting a built-in list of default router username/password combinations. If successful, the malware alters the victim's domain name system (DNS) records so that all future traffic passes through the attacker's network first. DNS can be thought of as the Internet's phone book, translating human-friendly names like example.com into numeric addresses that are easier for networking equipment to handle.
Actuellement, Trojan.DNS modifie les adresses des serveurs DNS du PC où est exécuté le codec piégé, seul l'ordinateur où le faux codec est exécuté est donc impacté.

De nouvelles variantes de Trojan.DNS modifieraient maintenant les paramètres DNS au niveau du routeur.
Dans une configuration type, la résolution DNS se fait en général par le routeur (Le PC a comme serveur DNS le routeur qui se charge d'effectuer les résolutions DNS) : Les nouvelles variantes de Trojan.DNS tentent de modifier les adresses des serveurs DNS directement sur le routeur afin de modifier le résultat des requêtes DNS.
L'avantage est simple, tous les ordinateurs connectés sur le routeur sont impactés par ces modifications.

Vous allez me dire, oui mais si j'exécute le codec sur un PC comment fait-il pour modifier les adresses DNS du routeur ? comment y a-t-il accès ?
C'est le principe expliqué sur cette page (fev 2007) : Proof of concept : Attaque sur les routeurs des internautes.

Le Trojan modifie les paramètres via l'interface WEB du routeur, pour cela, il doit connaître le mot de passe d'accès... il va alors tenter des mots de passe "facile" : "admin, administrateur" (principe du bruteforce via un dictionnaire) ou tout simplement le mot de passe usine, si vous n'avez pas changé le mot de passe de votre routeur, vous êtes donc vulnérable.

Voici la liste des mots de passe testé : http://blog.washingtonpost.com/securityfix/zlobpass.txt

A l'heure actuelle seul les routeurs Linksys BEFSX41 sont visés mais on peut imaginer que les gammes de routeurs visés seront étendus avec le temps pour toucher un maxmimum d'internautes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116251
Inscription : 10 sept. 2005 13:57

Re: Trojan.Win32.DNSChanger et routeurs : Trojan.RouterChanger.A

par Malekal_morte »

Ce nouvelle variante de Trojan.Win32.DNSChanger qui modifie les DNS au niveau du routeur est baptisée : Trojan.RouterChanger (La première variante est Trojan.RouterChanger.A)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116251
Inscription : 10 sept. 2005 13:57

Re: Trojan.Win32.DNSChanger et routeurs : Trojan.RouterChang

par Malekal_morte »

Juste pour signaler que depuis début Janvier.
La Livebox Mini Thomson de chez Orange est touché par les changements DNS afin d'effectuer des redirections Google.
(les autres modèles de Livebox le sont aussi peut-être).

Désinfecter l'ordinateur.
Connectez-vous à la livebox par l'interface WEB : http://192.168.1.1
et corriger les serveurs DNS.
Modifiez le mot de passe administrateur afin de rendre la connexion à la Livebox plus sécurisée.

Vous pouvez aussi modifier les serveurs DNS des PC - pour ne pas utiliser ceux de la Livebox - afin de stopper temporairement les redirections si vous ne parvenez pas à modifier la configuration de la Livebox :
  • Ouvrez les connexions réseau :
    • Sur Windows XP : Panneau de configuration / connexion réseau puis clic droit propriétés sur la carte réseau
    • Sur Windows Vista/Seven : Panneau de configuration / Centre Réseau et partage / A gauche, cliquez sur Modifier les paramètres de la carte
  • Sur la carte réseau, faites un clic droit propriétés
  • Sélectionnez Paramètres TCP/IP (IPV4 sur Vista/Seven) puis propriétés

En bas dans les serveurs de noms/DNS mets ça :
* DNS primaire 80.10.246.2
* DNS secondaire 80.10.246.129

Ferme et relance ton navigateur WEB et vois ce que ça donne pour les redirections.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116251
Inscription : 10 sept. 2005 13:57

Re: Trojan.Win32.DNSChanger et routeurs : Trojan.RouterChang

par Malekal_morte »

Le malware Sality utilise le malware Win32/RBrute pour lancer une attaque par Bruteforce sur les routeurs afin de changer les serveurs DNS de ce dernier.

Plus d'informations : http://www.welivesecurity.com/2014/04/0 ... n32rbrute/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »