Een nieuw stuk malware kaapt uw internetverkeer en voegt er eigen content aan toe, zoals reclame maar ook porno. Uw antivirus staat helaas machteloos.


Beveiligingsonderzoekers van Ara Labs ontdekten nieuwe malware die het op je surfgedrag gemunt heeft. De malware valt je computer niet aan, maar heeft het gemunt op de router. Dat is vervelend: de meesten onder ons zijn voorzien van een goede firewall en een antivirusprogramma op alle toestellen achter de router, maar met de toegangspoort naar het internet houden weinigen zich bezig. Logisch, aangezien een router zelf beschermen een stuk minder voor de hand ligt.

Telefoonboek

De malware nestelt zich in de router en neemt de DNS-instellingen over. De Domain Name Server is een soort telefoonboek dat url’s (zdnet.be) verbindt aan IP-adressen (178.208.39.208) zodat je computer weet waar een server zich bevindt. De DNS-server zelf heeft ook een adres, en net dat kaapt de bewuste malware. Vervolgens worden tags die verwijzen naar Google Analytics vervangen door porno of reclame. Bijna iedere website maakt gebruik van Analytics, dus wanneer jouw router geïnfecteerd raakt zal vrijwel het hele internet er uitzien als een met reclame gevulde pornowebsite.

Misleidende omleiding

De hack werkt als volgt: je browser ontdekt op een website die hij probeert weer te geven een tag van Google Analytics, de tool die veel mensen gebruiken om het verkeer op hun site te monitoren. De browser vraagt vervolgens aan de DNS-server wat het IP-adres van Analytics is, zodat je computer weet waar op het internet de server van Google ergens staat. De malware stuurt het verzoek echter naar een valse DNS, die liegt over het antwoord. Het teruggestuurde IP-adres brengt je browser niet naar Analytics, maar naar reclame of pornografie. Dat is op z’n zachtst gezegd vervelend maar de malware bestaat niet om je te enerveren: de omgeleide trafiek maakt ergens iemand rijk dankzij alle extra pageviews.


Bescherming

Malware die het op je router gemunt heeft is niet nieuw. Integendeel, weel hardware kan gehackt worden via Javascript wat de dingen een aanlokkelijk doelwit maakt. Bovendien scant je antivirusprogramma enkel je computer, en niet de router. Deze malware in kwestie misbruikt het feit dat veel mensen hun router aansluiten en er niet meer naar omkijken. Het virus breekt binnen omdat de standaardgebruikersnaam en het bijhorende wachtwoord nooit werden gewijzigd.

Je kan jezelf dus beschermen door gebruikersnaam en wachtwoord wel te wijzigen, en er zoals altijd steeds voor te zorgen dat de firmware op het toestel up to date is.