Brian Krebs friss cikkében olyan új trójaira hívja fel a figyelmet, ami a router észrevétlen átállítására is képes, így az egész helyi hálózat internet forgalmát el tudja téríteni. A havi toplistánkon régóta dobogós, a világ egyik legnagyobb számú fertőzéseit produkáló Zlob/DNSChanger trójai terjeszti a kártékony kódot, ami elindítása után alapértelmezett router jelszavak és könnyen kitalálható kódok végigpróbálgatásával sokszor sikeresen tör be a helyi hálózatot megosztó hardverre.
Amint a tipikusan videók lejátszásához szükséges codecként vagy ActiveX vezérlőként feltelepülő kémprogram hozzáférést szerzett a routerhez és a hálózati beállításokhoz, azonnal átállítja a DNS kiszolgálókat, hogy a teljes helyi hálózat az internetet ezután bűnözők számítógépein keresztül érje el. A DNS rendszert az internet telefonkönyvéhez is hasonlíthatnánk, a DNS kiszolgálók mondják meg, hogy egy adott honlapcím (vagy más kiszolgáló címe) az interneten valóban hol (milyen numerikus IP címen) található. Tehát az új trójai segítségével a bűnözők számtalan lehetőséghez jutnak: eltéríthetik a böngészőket, teljesen más honlapokat mutathatnak a valódi oldalak helyett, vagy akár ellehetetleníthetik a védelmi rendszerek jövőbeni frissítéseit. Ráadásul hiába távolítjuk el a Zlob fertőzést, a router helyreállításáig nem szűnnek meg az említett problémák, sőt, ezek a helyi hálózat összes számítógépét egyaránt érintik. Így például egy tisztának feltételezett Apple számítógépen is a kémprogramokból jól ismert reklámokkal teli keresőoldalakat és honlapokat nyithatunk meg, vagy a hálózat összes számítógépén leállhat az antivírus frissítése, amíg a helyi routert kézzel ki nem javítjuk.
A router visszaállítására pedig jelenleg egyetlen vírusvédelem vagy kémprogram-eltávolító sincs felkészítve, ami egy érdekes feladatot adhat a védelmi rendszerek fejlesztőinek.Ráadásul az új trójait az antivírusok többsége átengedi (1., 2. és 3. minta) így az akadály nélkül fertőzhet, a helyreállítás pedig mindenképp bonyolultabb feladatot jelent ezúttal, mint egy későbbi adatbázis frissítést követő vírusirtás.
"Ehhez foghatót még biztosan nem láttunk." - mondja Eric Sites, a Sunbelt technikai vezetője. "Csak idő kérdése volt, amíg valaki el nem kezdte kihasználni ezt a sebezhetőséget" fűzi hozzá, hiszen az alapértelmezett és könnyen kitalálható router jelszavak elleni támadások megjelenése mindenképp várható volt. A kémprogram valódi veszélyt jelent: a Sunbelt laborban egy Zlob mintával sikeresen "átállítottak" egy alapbeállításokat használó Linksys routert (BEFSX41 modell), majd egy nyílt forráskódú DD-WRT firmware-t futtató Buffalo routert átprogramozott a károkozó.
Az új Zlob trójai minden bizonnyal nem az utolsó trükköt mutatta be ezzel, biztosan találkozunk a közeljövőben még hasonló támadásokkal, amelyek a téves vagy hiányos védelemből adódnak. Például ebben az esetben a gyártók tévesen feltételezik, hogy a helyi hálózat biztonságos, és nem figyelnek oda a router megfelelő védelmére, így az alapbeállításokkal használt, vagy egyszerű jelszavakat használó hálózati megosztó könnyen feltörhető egy egyáltalán nem bonyolultan működő károkozó számára. Sok router például semmilyen védelemmel nem rendelkezik a jelszópróbálgatás ellen, ami helyi hálózaton nagyságrendekkel gyorsabban történhet, mint az internetes szerverek esetében. Így egy pár karakteres, egyszerű jelszó kitalálására is jó esélye van a támadónak, azután pedig az egész helyi hálózatot kiszolgáltatottá teheti.
